该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。【悟空云课堂】第三十五期:加密强度不足(CWE-326:Inadequate Encryption Strength)什么是加密强度不足缺陷?大多数密码系统都需要足够的密钥大小来抵御暴力攻击。软件使用...
消减措施 通过维护软件物料清单(SBOM), 掌握软件组件和依赖项清单、以及有关这些组件的信息以及它们的层次关系。持续监控每个产品组件的变化,特别是当出现新的漏洞、服务终止 (EOL) 时,及早采取措施。1.1.2.CWE-1384: 极端物理环境条件处理不当 弱点的描述 在极端物理环境下,产品无法正确检测和处理,例如温度、...
CWE 326 加密秘钥为空CWE 327 损坏或有风险的加密算法 A3:注入漏洞 CWE 73 文件名或外部路径的外部是控制CWE 79 跨站脚本攻击CWE 89 SQL注入CWE 90 LDAP注入CWE 94 代码注入CWE 113 HTTP响应拆分CWE 652 XQuery注入 A4:不安全设计缺陷 CWE 209 生成包含敏感信息的错误消息CWE 256 凭证的未保护存储CWE 312 ...
持续监控每个产品组件的变化,特别是当出现新的漏洞、服务终止 (EOL) 时,及早采取措施。
CWE 4.7中的新视图 -- 工业控制系统的安全漏洞类别 1. CWE 4.7的变化 CWE今年的第一个版本在5/1前发布了,做为软件安全的重要分类标准,我们来看下这个版本有那些变化。 从汇总图可以看出,新增了3个弱点,废弃了一个弱点;新增1个视图,25分类。 从这些数字的变化,我们不难看到,又有新视图了,到底这个新视图是...
CWE 4.7中的新视图 工业控制系统的安全漏洞类别 1. CWE 4.7的变化 CWE今年的第一个版本在5/1前发布了,做为软件安全的重要分类标准,我们来看下这个版本有那些变化。 变化类型 Version 4.6 Version 4.7 弱点 924 926 分类 326 351 视图 46 47 废弃
草案中OT典型的漏洞包括: 表15:体系结构和设计漏洞 表16:配置和维护漏洞 表17:物理漏洞 表18:软件开发漏洞 表19:通信和网络配置漏洞 表20:传感器、最终元件和资产管理漏洞 其中软件开发造成的漏洞,如下: 缺陷描述 不正确的输入校验 OT 软件可能无法正确验证用户输入或接收的数据确保有效性。无效数据可能导致许多漏...
CWE 4.7中的新视图 -- 工业控制系统的安全漏洞类别 1. CWE 4.7的变化 变化类型 Version 4.6 Version 4.7 弱点 924 926 分类 326 351 视图 46 47 废弃 61 62 汇总 1357 1386 CWE今年的第一个版本在5/1前发布了,做为软件安全的重要分类标准,我们来看下这个版本有那些变化。
2017年为"使用具有已知漏洞的组件",这一类别从2017年的第九位上升到第六位,是我们难以测试和评估风险的已知问题。它是唯一一个未将任何常见漏洞和披露(CVE) 映射到所包含的 CWE 的类别,因此漏洞利用和影响权重采用了默认值5.0。 2.2.7. A07:2021-标识和身份验证失败 ...