“SANS/CWE 最危险的 25 个编程错误 v1.03”报告
此报告显示在站点上发现的“SANS/CWE 最危险的 25 个编程错误”问题。它按照 CWE 值与问题类型匹配。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规,并且可能会被视为违反法律规定。
它为什么重要
“CWE/SANS Top 25 最危险编程错误 v1.03”是可导致严重软件漏洞的最重大编程错误的列表。这些错误频繁发生,通常易于查找且易于利用。它们比较危险,因为它们经常会允许攻击者完全接管软件,窃取数据或使软件彻底无法工作。这是使用一般排名简要列出的前 25 项。
| 排名 | ID | 名称 |
|---|---|---|
| 1 | CWE-89 | 对 SQL 命令中使用的特殊元素清理不当(“SQL 注入”) |
| 2 | CWE-78 | 对操作系统命令中使用的特殊元素清理不当(“操作系统命令注入”) |
| 3 | CWE-120 | 未检查输入大小即进行缓冲区复制(“经典缓冲区溢出”) |
| 4 | CWE-79 | 对 Web 页面生成期间的输入的清理不当(“跨站点脚本编制”) |
| 5 | CWE-306 | 关键功能缺少认证 |
| 6 | CWE-862 | 缺少授权 |
| 7 | CWE-798 | 使用硬编码凭证 |
| 8 | CWE-311 | 敏感数据缺少加密 |
| 9 | CWE-434 | 未限制上载危险类型文件 |
| 10 | CWE-807 | 在安全决策中依赖于不可信输入 |
| 11 | CWE-250 | 通过不需要的特权执行 |
| 12 | CWE-352 | 跨站点请求伪造 (CSRF) |
| 13 | CWE-22 | 不当地将路径名限制为受限目录(“路径遍历”) |
| 14 | CWE-494 | 下载代码前未进行完整性检查 |
| 15 | CWE-863 | 授权不正确 |
| 16 | CWE-829 | 包含来自不可信控制范围的功能 |
| 17 | CWE-732 | 关键资源的许可权指定不正确 |
| 18 | CWE-676 | 使用有潜在威胁的功能 |
| 19 | CWE-327 | 使用已破解或危险的密码算法 |
| 20 | CWE-131 | 缓冲区大小的计算不正确 |
| 21 | CWE-307 | 过多认证尝试的限制处理不当 |
| 22 | CWE-601 | URL 重定向到不可信站点(“开放式重定向”) |
| 23 | CWE-134 | 格式字符串不受控制 |
| 24 | CWE-190 | 整数溢出或回绕 |
| 25 | CWE-759 | 在没有加密盐的情况下使用单向散列 |