| CWE-94 |
对生成代码的控制不恰当(代码注入) |
| CWE-942 |
过度许可的跨域白名单 |
| CWE-95 |
动态执行代码中指令转义处理不恰当(Eval注入) |
| CWE-96 |
静态存储代码中指令转义处理不恰当(静态代码注入) |
| CWE-97 |
Web页面中服务端引用(SSI)转义处理不恰当 |
| CWE-98 |
PHP程序中Include/Require语句包含文件控制不恰当(PHP远程文件包含) |
| CWE-99 |
对资源描述符的控制不恰当(资源注入) |
| CWE-1004 |
没有'HttpOnly'标志的敏感Cookie |
| CWE-102 |
Structs:重复验证表单 |
| CWE-1023 |
缺失要素致使对比不完全 |
| CWE-104 |
Structs:表单Bean未扩展验证类 |
| CWE-105 |
Structs:缺少验证的表单域 |
| CWE-1068 |
软件实现和设计文档不一致 |
| CWE-107 |
Structs:未使用的验证表单 |
| CWE-109 |
Structs:验证器关闭 |
| CWE-113 |
HTTP头部中CRLF序列转义处理不恰当(HTTP响应分割) |
| CWE-115 |
输入的错误解释 |
| CWE-1174 |
ASP.NET错误配置:模型验证不正确 |
| CWE-12 |
ASP.NET误配置:缺少定制错误页面 |
| CWE-121 |
栈缓冲区溢出 |
| CWE-123 |
任意地址可写任意内容条件 |
| CWE-125 |
跨界内存读 |
| CWE-127 |
缓冲区下溢读取 |
| CWE-129 |
对数组索引的验证不恰当 |
| CWE-130 |
长度参数不一致性处理不恰当 |
| CWE-134 |
使用外部控制的格式字符串 |
| CWE-135 |
多字节字符串长度的计算不正确 |
| CWE-14 |
编译器移除释放缓冲区的代码 |
| CWE-140 |
分隔符转义处理不恰当 |
| CWE-141 |
参数分隔符转义处理不恰当 |
| CWE-142 |
值分隔符转义处理不恰当 |
| CWE-143 |
记录分隔符转义处理不恰当 |
| CWE-144 |
行分隔符转义处理不恰当 |
| CWE-15 |
系统设置或配置在外部可控制 |
| CWE-151 |
注释分隔符转义处理不恰当 |
| CWE-156 |
空格转义处理不恰当 |
| CWE-158 |
空字节或NULL字符转义处理不恰当 |
| CWE-160 |
起始特殊元素净化处理不恰当 |
| CWE-164 |
内部特殊元素净化处理不恰当 |
| CWE-166 |
缺失特殊元素净化处理不恰当 |
| CWE-168 |
不一致特殊元素净化处理不恰当 |
| CWE-172 |
编码错误 |
| CWE-175 |
混合编码处理不恰当 |
| CWE-177 |
URL编码处理不恰当(Hex编码) |
| CWE-179 |
不正确的行为次序:过早验证 |
| CWE-186 |
过度严格的正则表达式 |
| CWE-188 |
依赖数据/内存布局 |
| CWE-191 |
整数下溢(超界折返) |
| CWE-193 |
Off-by-one错误 |
| CWE-195 |
有符号至无符号转换错误 |
| CWE-197 |
数值截断错误 |
| CWE-20 |
输入验证不恰当 |
| CWE-201 |
通过发送数据的信息暴露 |
| CWE-203 |
通过差异性导致的信息暴露 |
| CWE-205 |
通过行为差异性导致的信息暴露 |
| CWE-207 |
通过外部行为不一致性导致的信息暴露 |
| CWE-209 |
通过错误消息导致的信息暴露 |
| CWE-211 |
通过外部产生的错误消息导致的信息暴露 |
| CWE-213 |
故意性的信息暴露 |
| CWE-215 |
通过Debug信息导致的信息暴露 |
| CWE-219 |
Web根目录下的敏感数据 |
| CWE-222 |
安全相关信息的截断 |
| CWE-224 |
通过候选名称导致的安全相关信息混淆 |
| CWE-226 |
在释放前未清除敏感信息 |
| CWE-229 |
值处理不恰当 |
| CWE-230 |
缺失值处理不恰当 |
| CWE-232 |
未定义值处理不恰当 |
| CWE-234 |
未对缺失参数进行处理 |
| CWE-236 |
对未定义参数处理不恰当 |
| CWE-238 |
对不完整结构体元素处理不恰当 |
| CWE-24 |
路径遍历:'../filedir' |
| CWE-241 |
非预期数据类型处理不恰当 |
| CWE-243 |
未改变工作目录时创建chroot Jail |
| CWE-245 |
J2EE不安全实践:对连接的直接管理 |
| CWE-250 |
带着不必要的权限执行 |
| CWE-253 |
对函数返回值的检查不正确 |
| CWE-259 |
使用硬编码的口令 |
| CWE-260 |
配置文件中存储口令 |
| CWE-266 |
特权授予不正确 |
| CWE-268 |
特权链锁 |
| CWE-27 |
路径遍历:'dir/../../filename' |
| CWE-271 |
特权放弃/降低错误 |
| CWE-273 |
对于放弃特权的检查不恰当 |
| CWE-276 |
缺省权限不正确 |
| CWE-28 |
路径遍历:'..\filedir' |
| CWE-281 |
权限预留不恰当 |
| CWE-285 |
授权机制不恰当 |
| CWE-287 |
认证机制不恰当 |
| CWE-289 |
使用候选名称进行的认证绕过 |
| CWE-290 |
使用欺骗进行的认证绕过 |
| CWE-296 |
证书信任链回溯不恰当 |
| CWE-298 |
证书过期验证不恰当 |
| CWE-30 |
路径遍历:'\dir\filename' |
| CWE-303 |
认证算法的不正确实现 |
| CWE-305 |
使用基本弱点进行的认证绕过 |
| CWE-325 |
缺少必要的密码学步骤 |
| CWE-1007 |
屏幕显示出的不同编码的同形字母不易区分 |
| CWE-1021 |
不当限制渲染UI层或帧 |
| CWE-1022 |
使用windows.opener访问指向不可信目标的web链接 |
| CWE-1024 |
不兼容类型的比较 |
| CWE-1025 |
使用错误要素进行比较 |
| CWE-103 |
Structs:不完整的validate()方法定义 |
| CWE-106 |
Structs:插件框架未在使用 |
| CWE-108 |
Structs:未经验证的动作表单 |
| CWE-11 |
ASP.NET误配置:创建Debug模式二进制 |
| CWE-110 |
Structs:无表单域的验证器 |
| CWE-111 |
对不安全JNI的直接使用 |
| CWE-112 |
XML验证缺失 |
| CWE-114 |
流程控制 |
| CWE-116 |
对输出编码和转义不恰当 |
| CWE-33 |
路径遍历:'....' (多个点号) |
| CWE-331 |
信息熵不充分 |
| CWE-333 |
TRNG不充分信息熵的处理不恰当 |
| CWE-335 |
PRNG种子错误 |
| CWE-337 |
PRNG中使用可预测种子 |
| CWE-339 |
PRNG中的种子空间太小 |
| CWE-340 |
可预测问题 |
| CWE-342 |
从先前值可预测准确值 |
| CWE-344 |
在动态变化上下文中使用不变值 |
| CWE-346 |
源验证错误 |
| CWE-348 |
使用不可信的源 |
| CWE-35 |
路径遍历:'.../...//' |
| CWE-351 |
不充分的类型区分 |
| CWE-353 |
缺失完整性检查支持 |
| CWE-356 |
产品UI接口未警示用户不安全动作 |
| CWE-358 |
不恰当实现的标准安全检查 |
| CWE-36 |
绝对路径遍历 |
| CWE-362 |
使用共享资源的并发执行不恰当同步问题(竞争条件) |
| CWE-364 |
信号处理例程中的竞争条件 |
| CWE-366 |
单线程内的竞争条件 |
| CWE-368 |
上下文切换时的竞争条件 |
| CWE-37 |
路径遍历:'/absolute/pathname/here' |
| CWE-372 |
不完整的内部状态区分 |
| CWE-374 |
传递不可变的对象给非可信方法 |
| CWE-377 |
不安全的临时文件 |
| CWE-117 |
日志输出的转义处理不恰当 |
| CWE-1173 |
验证框架使用不当 |
| CWE-1176 |
低效的CPU计算 |
| CWE-1177 |
使用被禁止的代码 |
| CWE-118 |
对可索引资源的访问不恰当(越界错误) |
| CWE-119 |
内存缓冲区边界内操作的限制不恰当 |
| CWE-120 |
未进行输入大小检查的缓冲区拷贝(传统缓冲区溢出) |
| CWE-122 |
堆缓冲区溢出 |
| CWE-124 |
缓冲区下溢 |
| CWE-126 |
缓冲区上溢读取 |
| CWE-128 |
超界折返处理错误 |
| CWE-13 |
ASP.NET误配置:配置文件中存储口令 |
| CWE-131 |
缓冲区大小计算不正确 |
| CWE-138 |
对特殊元素的转义处理不恰当 |
| CWE-379 |
在具有不安全权限的目录中创建临时文件 |
| CWE-382 |
J2EE不安全实践:使用System.exit() |
| CWE-384 |
会话固定 |
| CWE-386 |
符号名称未能映射到正确对象 |
| CWE-390 |
未有动作错误条件的检测 |
| CWE-392 |
错误条件报告缺失 |
| CWE-394 |
未预期的状态编码或返回值 |
| CWE-396 |
对通用异常声明Catch语句 |
| CWE-40 |
路径遍历:'\UNC\share\name\'(WindowsUNC共享) |
| CWE-401 |
在移除最后引用时对内存的释放不恰当(内存泄露) |
| CWE-403 |
将文件描述符暴露给不受控制的范围(文件描述符泄露) |
| CWE-405 |
不对称的资源消耗(放大攻击) |
| CWE-407 |
算法复杂性 |
| CWE-409 |
对高度压缩数据的处理不恰当(数据放大攻击) |
| CWE-410 |
不充分的资源池 |
| CWE-413 |
资源加锁不恰当 |
| CWE-415 |
双重释放 |
| CWE-419 |
未保护的主要通道 |
| CWE-420 |
未保护的候选通道 |
| CWE-426 |
不可信的搜索路径 |
| CWE-428 |
未经引用的搜索路径或元素 |
| CWE-430 |
错误句柄的实施 |
| CWE-432 |
在敏感操作时危险信号处理例程未被禁用 |
| CWE-145 |
节分隔符转义处理不恰当 |
| CWE-146 |
表达式/命令分隔符转义处理不恰当 |
| CWE-147 |
输入终结符转义处理不恰当 |
| CWE-148 |
输入起始符转义处理不恰当 |
| CWE-149 |
引号语法转义处理不恰当 |
| CWE-150 |
转义、元或控制序列转义处理不恰当 |
| CWE-152 |
宏符号转义处理不恰当 |
| CWE-153 |
替代符号转义处理不恰当 |
| CWE-154 |
变量名分隔符转义处理不恰当 |
| CWE-155 |
双字符或匹配符号转义处理不恰当 |
| CWE-157 |
结对分隔符的净化处理不恰当 |
| CWE-159 |
特殊元素净化处理不恰当 |
| CWE-161 |
多重起始特殊元素净化处理不恰当 |
| CWE-162 |
结尾特殊元素转义处理不恰当 |
| CWE-163 |
多重结尾特殊元素转义处理不恰当 |
| CWE-165 |
多重内部特殊元素净化处理不恰当 |
| CWE-167 |
附加特殊元素净化处理不恰当 |
| CWE-170 |
不恰当的空终结符 |
| CWE-173 |
候选编码方案处理不恰当 |
| CWE-174 |
对同一数据的双重编码 |
| CWE-176 |
Unicode编码处理不恰当 |
| CWE-178 |
大小写敏感处理不恰当 |
| CWE-180 |
不正确的行为次序:规范化之前验证 |
| CWE-181 |
不正确的行为次序:在过滤之前验证 |
| CWE-182 |
数据的崩溃导致不安全数值 |
| CWE-183 |
宽松定义的白名单 |
| CWE-184 |
不完整的黑名单 |
| CWE-185 |
不正确的正则表达式 |
| CWE-187 |
部分比较 |
| CWE-434 |
危险类型文件的不加限制上传 |
| CWE-436 |
解释冲突 |
| CWE-439 |
新版本或环境中的行为变化 |
| CWE-440 |
预期行为违背 |
| CWE-446 |
安全特性的UI矛盾 |
| CWE-448 |
UI上的废弃特性 |
| CWE-45 |
路径等价:'file...name' (多个内部的点号) |
| CWE-451 |
关键信息的UI错误表达 |
| CWE-454 |
可信任变量或数据存储的外部初始化 |
| CWE-456 |
变量未经初始化 |
| CWE-46 |
路径等价:'filename'(结尾空格) |
| CWE-462 |
在关联列表中具有重复Key |
| CWE-464 |
对数据结构哨兵域的增加 |
| CWE-467 |
在指针类型上使用sizeof() |
| CWE-469 |
使用指针的减法来确定大小 |
| CWE-470 |
使用外部可控制的输入来选择类或代码(不安全的反射) |
| CWE-472 |
对假设不可变Web参数的外部可控制 |
| CWE-474 |
使用具有不一致性实现的函数 |
| CWE-476 |
空指针解引用 |
| CWE-478 |
在Switch语句中缺失缺省条件 |
| CWE-190 |
整数溢出或超界折返 |
| CWE-192 |
整数强制转换错误 |
| CWE-194 |
未预期的符号扩展 |
| CWE-196 |
无符号至有符号转换错误 |
| CWE-198 |
字节序使用不正确 |
| CWE-200 |
信息暴露 |
| CWE-202 |
通过数据查询的敏感数据暴露 |
| CWE-204 |
响应差异性信息暴露 |
| CWE-206 |
通过行为不一致性导致的内部状态信息暴露 |
| CWE-208 |
通过时间差异性导致的信息暴露 |
| CWE-210 |
通过自主产生的错误消息导致的信息暴露 |
| CWE-212 |
敏感数据的不恰当跨边界移除 |
| CWE-214 |
通过处理环境导致的信息暴露 |
| CWE-216 |
容器错误 |
| CWE-22 |
对路径名的限制不恰当(路径遍历) |
| CWE-221 |
信息丢失或遗漏 |
| CWE-223 |
安全相关信息的遗漏 |
| CWE-228 |
语法无效结构处理不恰当 |
| CWE-48 |
路径等价:'filename'(内部空格) |
| CWE-481 |
错误将比较符号写成赋值符号 |
| CWE-483 |
不正确的代码块分界 |
| CWE-486 |
使用名称来比较对象 |
| CWE-488 |
对错误会话暴露数据元素 |
| CWE-49 |
路径等价:'filename/'(尾部斜杠) |
| CWE-492 |
使用包含敏感数据的内部对象 |
| CWE-494 |
下载代码缺少完整性检查 |
| CWE-496 |
公开数据赋值给私有的数组类型数据域 |
| CWE-498 |
包含敏感信息的可克隆类 |
| CWE-5 |
J2EE误配置:未经加密的数据传输 |
| CWE-500 |
公开静态字段没有标记为Final |
| CWE-502 |
可信数据的反序列化 |
| CWE-507 |
特洛伊木马 |
| CWE-509 |
具传播性的恶意代码(病毒或蠕虫) |
| CWE-510 |
后门 |
| CWE-512 |
间谍软件 |
| CWE-515 |
隐蔽存储通道 |
| CWE-52 |
路径等价:'/multiple/trailling/slash//' |
| CWE-521 |
弱口令要求 |
| CWE-525 |
通过浏览器缓存导致的信息暴露 |
| CWE-23 |
相对路径遍历 |
| CWE-231 |
额外值处理不恰当 |
| CWE-233 |
参数问题 |
| CWE-235 |
对额外参数处理不恰当 |
| CWE-239 |
未能处理不完整的元素 |
| CWE-240 |
对不一致结构体元素处理不恰当 |
| CWE-242 |
使用内在危险函数 |
| CWE-244 |
在释放前清理堆内存不恰当(堆检查) |
| CWE-246 |
J2EE不安全实践:对套接字的直接使用 |
| CWE-248 |
未捕获的异常 |
| CWE-25 |
路径遍历:'/../filedir' |
| CWE-252 |
未加检查的返回值 |
| CWE-258 |
配置文件中缺省空口令 |
| CWE-26 |
路径遍历:'dir/../filename' |
| CWE-267 |
特权定义了不安全动作 |
| CWE-269 |
特权管理不恰当 |
| CWE-270 |
特权上下文切换错误 |
| CWE-272 |
最小特权原则违背 |
| CWE-274 |
不充分特权处理不恰当 |
| CWE-532 |
通过日志文件的信息暴露 |
| CWE-536 |
通过Servlet运行时错误消息导致的信息暴露 |
| CWE-538 |
文件和路径信息暴露 |
| CWE-54 |
路径等价:'filedir\'(结尾的反斜杠) |
| CWE-541 |
通过包含源代码导致的信息暴露 |
| CWE-543 |
在多线程上下文中使用缺失同步机制的Singleton设计模式 |
| CWE-547 |
使用硬编码、安全相关的常数 |
| CWE-549 |
口令域未进行输入隐藏 |
| CWE-550 |
通过服务器错误消息导致的信息暴露 |
| CWE-552 |
对外部实体的文件或目录可访问 |
| CWE-554 |
ASP.NET误配置:没有使用输入验证框架 |
| CWE-556 |
ASP.NET误配置:使用身份伪装 |
| CWE-56 |
路径等价:'filedir*'(通配符) |
| CWE-561 |
死代码 |
| CWE-563 |
未使用的变量 |
| CWE-565 |
在信任Cookie未进行验证与完整性检查 |
| CWE-567 |
在多现场上下文中未能对共享数据进行同步访问 |
| CWE-57 |
路径等价:'fakedir/' |
| CWE-571 |
表达式永真 |
| CWE-573 |
调用者对规范的不恰当使用 |
| CWE-575 |
EJB不安全实践:使用AWT Swing |
| CWE-577 |
EJB不安全实践:使用套接字 |
| CWE-579 |
J2EE不安全实践:将不可序列化的对象存储在会话中 |
| CWE-580 |
未定义super.clone()的clone()方法 |
| CWE-582 |
公开、最终、静态声明的数组 |
| CWE-584 |
在最后的代码块中返回 |
| CWE-586 |
对Finalize()的显式调用 |
| CWE-588 |
尝试访问一个非结构体指针的子域 |
| CWE-59 |
在文件访问前对链接解析不恰当(链接跟随) |
| CWE-591 |
敏感数据存储于加锁不恰当的内存区域 |
| CWE-593 |
认证绕过:SSL对象创建后修改OpenSSL CTX对象 |
| CWE-595 |
错误对对象引用当作对象内容进行比较 |
| CWE-597 |
在字符串比较中使用了错误的操作符 |
| CWE-599 |
缺失对OpenSSL证书的验证 |
| CWE-600 |
Servlet中未捕获的异常 |
| CWE-605 |
对同一端口的多重绑定 |
| CWE-607 |
公开静态最终域索引互斥的对象 |
| CWE-609 |
双重检查的加锁机制 |
| CWE-612 |
通过私有数据的索引导致的信息暴露 |
| CWE-614 |
HTTPS会话中未设置'Secure'属性的敏感Cookie |
| CWE-616 |
上传文件变量的不完整标识(PHP) |
| CWE-618 |
暴露的不安全ActiveX方法 |
| CWE-62 |
UNIX硬链接 |
| CWE-621 |
变量抽取错误 |
| CWE-623 |
不安全的ActiveX控件被标记为脚本安全 |
| CWE-625 |
宽松定义的正则表达式 |
| CWE-627 |
动态变量执行 |
| CWE-636 |
未能安全地进行程序失效(Failing Open) |
| CWE-638 |
未能使用完整仲裁 |
| CWE-641 |
文件和其他资源名称限制不恰当 |
| CWE-643 |
XPath表达式中数据转义处理不恰当(XPath注入) |
| CWE-647 |
使用未经净化的URL路径进行授权决策 |
| CWE-649 |
依赖于未经完整性检查的安全相关输入的混淆或加密 |
| CWE-650 |
在服务器端信任HTTP权限模型 |
| CWE-652 |
XQuery表达式中数据转义处理不恰当(XQuery注入) |
| CWE-654 |
在安全决策中依赖单个元素 |
| CWE-656 |
依赖构建于封闭的安全性 |
| CWE-66 |
标识虚拟资源的文件名处理不恰当 |
| CWE-663 |
在并发上下文中使用不可再入的函数 |
| CWE-665 |
初始化不恰当 |
| CWE-667 |
加锁机制不恰当 |
| CWE-277 |
不安全的继承权限 |
| CWE-279 |
不安全的运行时授予权限 |
| CWE-280 |
不充分权限或特权的处理不恰当 |
| CWE-284 |
访问控制不恰当 |
| CWE-286 |
用户管理不正确 |
| CWE-29 |
路径遍历:'..\filename' |
| CWE-295 |
证书验证不恰当 |
| CWE-297 |
对宿主不匹配的证书验证不恰当 |
| CWE-299 |
证书撤销验证不恰当 |
| CWE-302 |
使用假设不可变数据进行的认证绕过 |
| CWE-304 |
认证中关键步骤缺失 |
| CWE-31 |
路径遍历:'dir....\filename' |
| CWE-318 |
在可执行体中的明文存储 |
| CWE-32 |
路径遍历:'...' (三个点号) |
| CWE-669 |
在范围间的资源转移不正确 |
| CWE-670 |
控制流实现总是不正确 |
| CWE-672 |
在过期或释放后对资源进行操作 |
| CWE-674 |
未经控制的递归 |
| CWE-676 |
潜在危险函数的使用 |
| CWE-681 |
数值类型间的不正确转换 |
| CWE-683 |
使用不正确参数次序的函数调用 |
| CWE-685 |
使用不正确参数个数的函数调用 |
| CWE-687 |
使用不正确指定参数值的函数调用 |
| CWE-689 |
在资源拷贝时的权限竞争条件 |
| CWE-690 |
未检查返回值导致空指针解引用 |
| CWE-694 |
使用多个具有重复标识的资源 |
| CWE-696 |
不正确的行为次序 |
| CWE-698 |
重定向后执行(EAR) |
| CWE-703 |
对异常条件检查或处理不恰当 |
| CWE-705 |
控制流范围控制不正确 |
| CWE-707 |
对消息或数据结构的处理不恰当 |
| CWE-72 |
Apple HFS+交换数据流路径处理不恰当 |
| CWE-732 |
关键资源的不正确权限授予 |
| CWE-74 |
输出中的特殊元素转义处理不恰当(注入) |
| CWE-75 |
特殊命令到另一不同平面时的净化处理不恰当(特殊命令注入) |
| CWE-755 |
对异常条件的处理不恰当 |
| CWE-759 |
使用未加Salt的单向哈希算法 |
| CWE-760 |
使用可预测Salt的单向哈希算法 |
| CWE-329 |
在CBC加密模式中未使用随机化IV向量 |
| CWE-330 |
使用不充分的随机数 |
| CWE-332 |
PRNG中信息熵不充分 |
| CWE-334 |
随机数的空间太小 |
| CWE-336 |
PRNG中使用相同种子 |
| CWE-338 |
使用具有密码学弱点缺陷的PRNG |
| CWE-34 |
路径遍历:'....//' |
| CWE-341 |
从可观察状态的可预测 |
| CWE-343 |
从先前值可预测取值范围 |
| CWE-345 |
对数据真实性的验证不充分 |
| CWE-347 |
密码学签名的验证不恰当 |
| CWE-349 |
在可信数据中接受外来的不可信数据 |
| CWE-354 |
完整性检查值验证不恰当 |
| CWE-357 |
对危险操作的UI警示不充分 |
| CWE-359 |
侵犯隐私 |
| CWE-360 |
信任系统事件数据 |
| CWE-363 |
允许符号链接跟随的竞争条件 |
| CWE-365 |
Switch语句中的竞争条件 |
| CWE-367 |
检查时间与使用时间(TOCTOU)的竞争条件 |
| CWE-369 |
除零错误 |
| CWE-370 |
在初始检查后缺失对证书撤销的验证 |
| CWE-375 |
返回不可变的对象给非可信调用者 |
| CWE-378 |
创建拥有不安全权限的临时文件 |
| CWE-38 |
路径遍历:'\absolute\pathname\here' |
| CWE-383 |
J2EE不安全实践:直接使用线程 |
| CWE-385 |
隐蔽时间通道 |
| CWE-39 |
路径遍历:'C:dirname' |
| CWE-391 |
未经检查的错误条件 |
| CWE-393 |
返回错误的状态编码 |
| CWE-395 |
使用NullPointerException捕捉来检测空指针解引用 |
| CWE-397 |
对通用异常声明Throws语句 |
| CWE-400 |
未加控制的资源消耗(资源穷尽) |
| CWE-402 |
将私有的资源传输到一个新的空间(资源泄露) |
| CWE-404 |
不恰当的资源关闭或释放 |
| CWE-406 |
对网络消息容量的控制不充分(网络放大攻击) |
| CWE-408 |
不正确的行为次序:早期放大攻击 |
| CWE-41 |
对路径等价的解析不恰当 |
| CWE-412 |
未加限制的外部可访问锁 |
| CWE-414 |
加锁检查缺失 |
| CWE-416 |
释放后使用 |
| CWE-42 |
路径等价:'filename.' (尾部点号) |
| CWE-762 |
不匹配的内存管理例程 |
| CWE-764 |
关键资源的多重加锁 |
| CWE-766 |
关键变量被公开声明 |
| CWE-768 |
不正确的快捷方式验证 |
| CWE-77 |
在命令中使用的特殊元素转义处理不恰当(命令注入) |
| CWE-771 |
对活跃已分配资源丧失索引 |
| CWE-773 |
对活跃文件描述符或句柄丧失索引 |
| CWE-775 |
缺失文件描述符或句柄在有效生命周期之后的释放处理 |
| CWE-777 |
没有下界集合的正则表达式 |
| CWE-78 |
OS命令中使用的特殊元素转义处理不恰当(OS命令注入) |
| CWE-781 |
在METHOD_NEITHERIO控制代码中的IOCTL地址验证不恰当 |
| CWE-783 |
操作符优先级逻辑错误 |
| CWE-785 |
路径操作函数中使用未进行大小限定的缓冲区 |
| CWE-787 |
跨界内存写 |
| CWE-789 |
未经控制的内存分配 |
| CWE-790 |
特殊元素过滤不恰当 |
| CWE-792 |
对一个或多个特殊元素实例的过滤不完全 |
| CWE-794 |
对特殊元素的多个实例的过滤不完全 |
| CWE-796 |
仅过滤与一个标记相关的特殊元素 |
| CWE-8 |
J2EE误配置:实体Bean远程声明 |
| CWE-804 |
可猜测的验证码 |
| CWE-806 |
使用源缓冲区的大小访问缓冲区 |
| CWE-81 |
错误消息Web页面中脚本转义处理不恰当 |
| CWE-83 |
Web页面属性中脚本转义处理不恰当 |
| CWE-841 |
行为工作流的不恰当实施 |
| CWE-843 |
使用不兼容类型访问资源(类型混淆) |
| CWE-425 |
直接请求(强制性浏览) |
| CWE-427 |
对搜索路径元素未加控制 |
| CWE-43 |
路径等价:'filename....' (多个尾部的点号) |
| CWE-431 |
句柄缺失 |
| CWE-433 |
未加解析的原始Web内容分发 |
| CWE-435 |
交互错误 |
| CWE-437 |
端点特性的不完整模型 |
| CWE-44 |
路径等价:'file.name' (内部点号) |
| CWE-444 |
HTTP请求的解释不一致性(HTTP请求私运) |
| CWE-447 |
在UI中的未实现或未支持特性 |
| CWE-449 |
UI执行错误动作 |
| CWE-450 |
UI输入的多重解释 |
| CWE-453 |
不安全的缺省变量初始化 |
| CWE-455 |
初始化失效后的不存在变量 |
| CWE-457 |
使用未经初始化的变量 |
| CWE-459 |
清理环节不完整 |
| CWE-460 |
抛出异常的清理不恰当 |
| CWE-463 |
对数据结构哨兵域的删除 |
| CWE-466 |
在预期范围外返回指针值 |
| CWE-468 |
不正确的指针放大 |
| CWE-47 |
路径等价:'filename'(开头空格) |
| CWE-471 |
对假设不可变数据的修改(MAID) |
| CWE-473 |
PHP参数外部修改 |
| CWE-475 |
从输入到API的未定义行为 |
| CWE-477 |
对废弃函数的使用 |
| CWE-479 |
信号处理例程中使用不可再入的函数 |
| CWE-480 |
使用操作符不正确 |
| CWE-482 |
错误将赋值符号写成比较符号 |
| CWE-484 |
在Switch语句中省略Break语句 |
| CWE-487 |
依赖包一级的范围 |
| CWE-489 |
遗留的调试代码 |
| CWE-491 |
公开的可克隆方法(对象劫持) |
| CWE-493 |
缺少Final Modifier的关键公开变量 |
| CWE-495 |
从公开方法中返回私有的数组类型数据域 |
| CWE-497 |
将系统数据暴露到未授权控制的范围 |
| CWE-499 |
可序列化的类中包含敏感信息 |
| CWE-50 |
路径等价:'//multiple/leading/slash' |
| CWE-506 |
内嵌的恶意代码 |
| CWE-508 |
非传播性的恶意代码 |
| CWE-51 |
路径等价:'/multiple//internal/slash' |
| CWE-511 |
逻辑/时间炸弹 |
| CWE-514 |
隐蔽通道 |
| CWE-520 |
.NET误配置:使用伪装 |
| CWE-522 |
不充分的凭证保护机制 |
| CWE-524 |
通过缓存导致的信息暴露 |
| CWE-526 |
通过环境变量导致的信息暴露 |
| CWE-53 |
路径等价:'\multiple\internal\backslash' |
| CWE-535 |
通过Shell错误消息导致的信息暴露 |
| CWE-537 |
通过Java运行时错误消息导致的信息暴露 |
| CWE-539 |
通过持久性Cookie导致的信息暴露 |
| CWE-540 |
通过源代码导致的信息暴露 |
| CWE-546 |
可疑注释 |
| CWE-548 |
通过目录枚举导致的信息暴露 |
| CWE-55 |
路径等价:'/./' (单点路径) |
| CWE-551 |
不正确的行为次序:在解析与净化处理之前进行授权 |
| CWE-553 |
外部可访问目录中的命令行Shell |
| CWE-555 |
J2EE误配置:在配置文件中明文存储口令 |
| CWE-558 |
在多线程应用程序中使用getlogin() |
| CWE-560 |
在chmod类型参数中使用umask() |
| CWE-562 |
返回栈上的变量地址 |
| CWE-564 |
SQL注入:Hibernate |
| CWE-566 |
通过用户控制SQL主密钥绕过授权机制 |
| CWE-568 |
没有super.finalize()的finalize()方法 |
| CWE-570 |
表达式永假 |
| CWE-86 |
Web页面标识中非法字符转义处理不恰当 |
| CWE-863 |
授权机制不正确 |
| CWE-88 |
参数注入或修改 |
| CWE-9 |
J2EE误配置:EJB方法弱访问权限 |
| CWE-908 |
对未经初始化资源的使用 |
| CWE-91 |
XML注入(XPath盲注) |
| CWE-911 |
引用计数的更新不恰当 |
| CWE-913 |
动态管理代码资源的控制不恰当 |
| CWE-915 |
动态确定对象属性修改的控制不恰当 |
| CWE-917 |
表达式语言语句中使用的特殊元素转义处理不恰当(表达式语言注入) |
| CWE-939 |
自定义URL方案处理程序中的授权不正确 |
| CWE-941 |
通信信道中错误指定的目的地 |
| CWE-572 |
调用线程的run()方法而非start()方法 |
| CWE-574 |
EJB不安全实践:使用同步原语 |
| CWE-576 |
EJB不安全实践:使用Java I/O |
| CWE-578 |
EJB不安全实践:使用类加载器 |
| CWE-58 |
路径等价:Windows8.3形式文件名 |
| CWE-581 |
对象模型违背:仅定义了一个等式与散列码 |
| CWE-583 |
公开声明的finalize()方法 |
| CWE-585 |
空的同步代码块 |
| CWE-587 |
将一个固定地址复制给指针 |
| CWE-589 |
对非普适API的调用 |
| CWE-590 |
释放并不在堆上的内存 |
| CWE-594 |
J2EE框架:将不可序列化的对象存储到磁盘上 |
| CWE-598 |
通过GET请求中的查询字符串导致的信息暴露 |
| CWE-6 |
J2EE误配置:会话ID长度不充分 |
| CWE-601 |
指向未可信站点的URL重定向(开放重定向) |
| CWE-603 |
使用客户端的认证机制 |
| CWE-606 |
循环条件输入未经检查 |
| CWE-608 |
Structs:动作表单类中存在非私有域 |
| CWE-61 |
UNIX符号链接跟随 |
| CWE-611 |
XML外部实体引用的不恰当限制(XXE) |
| CWE-613 |
不充分的会话过期机制 |
| CWE-615 |
通过注释导致的信息暴露 |
| CWE-617 |
可达断言 |
| CWE-619 |
数据库游标悬挂(游标注入) |
| CWE-620 |
未经验证的口令修改 |
| CWE-622 |
函数挂钩参数的验证不恰当 |
| CWE-624 |
可执行体正则表达式错误 |
| CWE-626 |
空字节交互错误 |
| CWE-628 |
使用不正确指定参数的函数调用 |
| CWE-637 |
保护机制不必要的复杂性(未使用经济性的机制) |
| CWE-640 |
忘记口令恢复机制弱 |
| CWE-642 |
对关键状态数据的外部可控制 |
| CWE-644 |
对HTTP头部进行脚本语法转义处理不恰当 |
| CWE-646 |
依赖于外部提供文件的文件名或扩展名 |
| CWE-648 |
特权API的不正确使用 |
| CWE-65 |
Windows硬链接 |
| CWE-651 |
通过WSDL文件导致的信息暴露 |
| CWE-653 |
不充分的划分 |
| CWE-655 |
不充分的心理学可接受性 |
| CWE-657 |
违背安全设计原则 |
| CWE-662 |
不恰当的同步机制 |
| CWE-664 |
在生命周期中对资源的控制不恰当 |
| CWE-666 |
在生命周期错误阶段对资源进行操作 |
| CWE-668 |
将资源暴露给错误范围 |
| CWE-67 |
Windows设备名处理不恰当 |
| CWE-671 |
缺乏对安全的管理控制 |
| CWE-673 |
范围定义的外部影响 |
| CWE-675 |
对资源的重复操作 |
| CWE-682 |
数值计算不正确 |
| CWE-684 |
特定函数功能的不正确供给 |
| CWE-686 |
使用不正确参数类型的函数调用 |
| CWE-688 |
使用不正确变量或索引作为参数的函数调用 |
| CWE-69 |
Windows::DATA交换数据流处理不恰当 |
| CWE-691 |
不充分的控制流管理 |
| CWE-693 |
保护机制失效 |
| CWE-695 |
使用底层的功能例程 |
| CWE-697 |
不充分的比较 |
| CWE-7 |
J2EE误配置:缺少定制错误页面 |
| CWE-704 |
不正确的类型转换 |
| CWE-706 |
使用不正确的解析名称或索引 |
| CWE-708 |
不正确的属主授予 |
| CWE-710 |
编程规范违背 |
| CWE-73 |
文件名或路径的外部可控制 |
| CWE-749 |
暴露危险的方法或函数 |
| CWE-754 |
对因果或异常条件的不恰当检查 |
| CWE-76 |
等价特殊元素的转义处理不恰当 |
| CWE-761 |
释放一个不在缓冲区起始位置的指针 |
| CWE-763 |
对无效指针或索引的释放 |
| CWE-765 |
关键资源的多重解锁 |
| CWE-767 |
通过公开方法可访问到关键的私有数据 |
| CWE-770 |
不加限制或调节的资源分配 |
| CWE-772 |
对已超过有效生命周期的资源丧失索引 |
| CWE-774 |
不加限制或调节进行文件描述符或句柄的分配 |
| CWE-776 |
DTD中递归实体索引的不恰当限制(XML实体扩展) |
| CWE-780 |
未配合OAEP使用RSA算法 |
| CWE-782 |
无充分访问控制条件下暴露IOCTL |
| CWE-784 |
在安全决策中依赖未经验证和完整性检查的Cookie |
| CWE-79 |
在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
| CWE-791 |
特殊元素过滤不完全 |
| CWE-793 |
仅过滤一个特殊元素的单一实例 |
| CWE-795 |
仅在一个特定位置过滤特殊元素 |
| CWE-797 |
仅在一个绝对路径位置过滤特殊元素 |
| CWE-799 |
交互频率的控制不恰当 |
| CWE-80 |
Web页面中脚本相关HTML标签转义处理不恰当(基本跨站脚本) |
| CWE-805 |
使用不正确的长度值访问缓冲区 |
| CWE-807 |
在安全决策中依赖未经信任的输入 |
| CWE-82 |
Web页面IMG标签属性中脚本转义处理不恰当 |
| CWE-827 |
文档类型定义的不恰当控制 |
| CWE-829 |
从非可信控制范围包含功能例程 |
| CWE-830 |
从非可信源包含Web功能例程 |
| CWE-836 |
在认证机制中使用口令哈希代替口令 |
| CWE-84 |
Web页面编码URIScheme转义处理不恰当 |
| CWE-842 |
将用户置入不正确的用户组 |
| CWE-85 |
双字符XSS操纵 |
| CWE-862 |
授权机制缺失 |
| CWE-87 |
替代XSS语法转义处理不恰当 |
| CWE-89 |
SQL命令中使用的特殊元素转义处理不恰当(SQL注入) |
| CWE-90 |
LDAP查询中使用的特殊元素转义处理不恰当(LDAP注入) |
| CWE-909 |
资源初始化缺失 |
| CWE-910 |
使用过期的文件描述符 |
| CWE-912 |
隐藏功能 |
| CWE-914 |
动态识别变量的控制不恰当 |
| CWE-918 |
服务端请求伪造(SSRF) |
| CWE-922 |
敏感信息的不安全存储 |
| CWE-93 |
对CRLF序列的转义处理不恰当(CRLF注入) |
| CWE-940 |
通信信道源的不正确验证 |
| CWE-943 |
数据查询逻辑中特殊元素的不当中和 |
