当前位置: 首页 > article >正文

OWASP TOP 10 2021 对应的CWE缺陷(官方)

在OWASP TOP 10 2021年发布TOP 10中,比较好的给出了每类漏洞类型对应的CWE编号,这对于开发应用安全的厂商来说无疑是一件好事。 不过大家应该也可以看到,A1-A10都是给出了几种CWE,但是官方并没有给出比较全面的的对应关系,前面我的文档中有分析并给出来了,大家可以去参考。

 ID

中文名称

英文名称

CWE

TOP 25

A01

失效的访问控制

Broken Access  Control

CWE 200 : Exposure of Sensitive Information to an Unauthorized Actor(将敏感信息泄漏给未经授权的参与者)、

CWE top 25

CWE-201: Exposure of Sensitive Information Through Sent Data(通过发送的数据泄漏敏感信息)

 

CWE-352: Cross-Site Request Forgery (跨站请求伪造)

 

A02

加密机制失效

Cryptographic Failures

CWE-259: Use of Hard-coded Password (使用硬编码密码)

 

CWE-327: Broken or Risky Crypto Algorithm(损坏或有风险的加密算法)

 

CWE-331 Insufficient Entropy (熵不足)

 

A03

注入

Injection

CWE-79: Cross-site Scripting(跨站点脚本)

CWE top 25

CWE-89:SQL Injection(SQL注入)

CWE top 25

CWE-73:External Control of File Name or Path(文件名或路径的外部控制)

 

A04

不安全设计

Insecure Design

CWE209:Generation of Error Message Containing Sensitive Information(生成包含敏感信息的错误消息)

 

CWE-256:Unprotected Storage of Credentials(凭证的未保护存储)

 

CWE-501:Trust Boundary Violation(信任边界冲突)

 

CWE-522:Insufficiently Protected Credentials(凭证保护不足)

CWE top 25

A05

安全配置错误

Security Misconfigureation

CWE-16 Configuration(配置)

 

CWE-611Improper Restriction of XML External Entity Reference(XML 外部实体引用的不当限制)

CWE top 25

A06

自带缺陷和过时的组件

Vulnerable and Outdated Components

CWE-1104 Use of Unmaintained Third-Party
Components
(使用未维护第三方组件)

 

2013

 

2017

 

A07

身份识别和身份验证错误

Identification and Authentication Failures

CWE-297: Improper Validation of Certificate with Host Mismatch(与不匹配
的服务端进行不适当的凭证确认)

 

CWE-287: Improper Authentication(不适当的认证)

CWE top 25

CWE-384: Session Fixation(会话固定攻击)

 

A08

软件和数据完整性故障

Software and Data Integrity Failures

CWE-829:Inclusion of Functionality from Untrusted Control Sphere(包含来自不受信任控制领域的功能)

 

CWE-494:Download of Code Without Integrity Check(不进行完整性检查的代码下载)

 

CWE-502:Deserialization of Untrusted Data(不可信数据的反序列化)

CWE top 25

A09

安全日志和监控故障

Security Logging and Monitoring Failures

CWE-117 Improper Output Neutralization for Logs(日志输出不当)

 

CWE-223 Omission of Security-relevant Information(安全事件信息漏报)

 

CWE-532 Insertion of Sensitive Information into Log File(在日志文件中包含敏感信息)

 

A10

服务器请求伪造

Server-Side Request Forgery

CWE-918 Server-Side Request Forgery( SSRF) 服务端请求伪造

CWE top 25

(结束)


http://www.kler.cn/a/147699.html

相关文章:

  • 【MySQL】SQL 优化经验
  • 详细对比JS中XMLHttpRequest和fetch的使用
  • SLAM/数字图象处理基础
  • 网络工程师常用软件之PING测试工具
  • 【扩展卡尔曼滤波理论推导与实践】【理论】【1/3 前言】
  • ZCC5090EA适用于TYPE-C接口,集成30V OVP功能, 最大1.5A充电电流,带NTC及使能功能,双节锂电升压充电芯片替代CS5090EA
  • 接口幂等+防重复提交+失败重试
  • 【01】ES6:ECMAScript 介绍
  • 获取WordPress分类链接
  • 基于springboot+maven的个人理财管理系统
  • 打造企业AI数字人专属IP的重要性
  • Unity播放网络视频
  • 一、TIDB基础
  • 部署Jenkins
  • Spring框架体系及Spring IOC思想
  • Ruoyi报‘com.ruoyi.system.api.RemoteLogService‘ that could not be found.
  • 典型的SAST支持检测标准
  • C语言:写一个函数,实现3*3矩阵的转置(指针)
  • 美团小游戏rpk包对接流程小记
  • 戴上HUAWEI FreeBuds Pro 3, 近离城市喧嚣,尽情享受无损音质在耳边漫游
  • 【Python】itertools模块,补充:可迭代对象、迭代器
  • Linux CentOS7 LVM
  • python通过numpy进行排序
  • 微服务--02--Nacos注册中心
  • Android RGB转YUV的算法
  • 网站定制开发主要分类有哪些|企业 app 软件小程序定制