SANS/CWE 前 25 大最危險的程式設計錯誤 1.03 版報告
這份報告顯示在您網站上找到的「SANS/CWE Top 25:前 25 大最危險的程式設計錯誤」問題。它會根據 CWE 值來比對問題類型。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全,並可能會被視為違反法規。
重要性
「CWE/SANS 前 25 大最危險的程式設計錯誤」1.03 版是一份最重要的程式設計錯誤清單,這些錯誤可能導致嚴重的軟體漏洞。它們經常發生、常容易找到,並且易被利用。這些錯誤很危險,因為它們常容許駭客全面接管軟體、竊取資料,或是讓軟體全然無法運作。這份簡要的 Top 25 項目清單採用一般排名方式。
| 等級 | ID | 名稱 |
|---|---|---|
| 1 | CWE-89 | 不當摧毀 SQL 指令中使用的特殊元素(SQL 注入) |
| 2 | CWE-78 | 不當摧毀作業系統指令中使用的特殊元素(作業系統指令注入) |
| 3 | CWE-120 | 未檢查輸入大小即進行緩衝區複製(典型緩衝區溢位) |
| 4 | CWE-79 | 不當摧毀產生網頁期間的輸入(跨網站 Scripting) |
| 5 | CWE-306 | 遺漏鑑別重要功能 |
| 6 | CWE-862 | 遺漏授權 |
| 7 | CWE-798 | 使用寫在程式中的認證 |
| 8 | CWE-311 | 遺漏加密機密資料 |
| 9 | CWE-434 | 未限定上傳危險類型的檔案 |
| 10 | CWE-807 | 倚賴安全決策中的非授信輸入 |
| 11 | CWE-250 | 使用不必要的專用權來執行 |
| 12 | CWE-352 | 偽造跨網站要求 (CSRF) |
| 13 | CWE-22 | 不當限制受限目錄的路徑名稱(路徑遍訪) |
| 14 | CWE-494 | 未經完整性檢查即下載程式碼 |
| 15 | CWE-863 | 不正確的授權 |
| 16 | CWE-829 | 包含來自未授信控制領域的功能 |
| 17 | CWE-732 | 重要資源的許可權指派不正確 |
| 18 | CWE-676 | 使用潛藏危險的功能 |
| 19 | CWE-327 | 使用毀損或危險的加密演算法 |
| 20 | CWE-131 | 緩衝區大小的計算不正確 |
| 21 | CWE-307 | 不當的過多鑑別嘗試次數限制 |
| 22 | CWE-601 | URL 重新導向到未授信網站(開放重新導向) |
| 23 | CWE-134 | 不受控制的格式字串 |
| 24 | CWE-190 | 整數溢位或折返 |
| 25 | CWE-759 | 使用沒有 Salt 的單向雜湊 |