CWE 2023 年 25 個最危險軟體弱點報告
這份報告會顯示在您的網站上找到的「常見弱點列舉 (CWE™) 前 25 大最危險的軟體弱點」。
重要性
「CWE Top 25 最危險的軟體弱點」報告是一份最重要的程式設計錯誤清單,這些錯誤可能導致嚴重的軟體漏洞。這些弱點很危險,因為它們通常很容易尋找、惡意探索,而且可能會讓攻擊者完全接管系統、竊取資料,或使應用程式無法運作。| 等級 | ID | 名稱 |
|---|---|---|
| 1 | CWE-787 | 超出範圍寫入 |
| 2 | CWE-79 | 不當摧毀產生網頁期間的輸入(跨網站 Scripting) |
| 3 | CWE-89 | 不當摧毀 SQL 指令中使用的特殊元素(SQL 注入) |
| 4 | CWE-416 | 可用之後使用 |
| 5 | CWE-78 | 不當摧毀作業系統指令中使用的特殊元素(作業系統指令注入) |
| 6 | CWE-20 | 輸入驗證不適當 |
| 7 | CWE-125 | 超出範圍讀取 |
| 8 | CWE-22 | 不當限制受限目錄的路徑名稱(路徑遍訪) |
| 9 | CWE-352 | 偽造跨網站要求 (CSR |
| 10 | CWE-434 | 未限定上傳危險類型的檔案 |
| 11 | CWE-862 | 遺漏授權 |
| 12 | CWE-476 | 空值指標解除參照 |
| 13 | CWE-287 | 不當鑑別 |
| 14 | CWE-190 | 整數溢位或折返 |
| 15 | CWE-502 | 不受信任資料的解除序列化 |
| 16 | CWE-77 | 不當中性化指令中使用的特殊元素(「指令注入」) |
| 17 | CWE-119 | 在記憶體緩衝區範圍內不當限制作業 |
| 18 | CWE-798 | 使用寫在程式中的認證 |
| 19 | CWE-918 | 偽造伺服器端要求 (SSRF) |
| 20 | CWE-306 | 遺漏鑑別重要功能 |
| 21 | CWE-362 | 使用共享資源並發執行且同步不正確(「競爭條件」) |
| 22 | CWE-269 | 權限管理不當 |
| 23 | CWE-94 | 程式碼產生控制不當(“程式碼注入”) |
| 24 | CWE-863 | 不正確的授權 |
| 25 | CWE-276 | 預設權限不正確 |