CWE-502 指的是在反序列化不可信数据时,如果应用程序没有进行适当的验证或限制,攻击者可以利用这一点来执行恶意代码。Jackson 是一个流行的 Java JSON 库,它提供了序列化和反序列化的功能。如果 Jackson 的配置不当,尤其是在处理不可信输入时,就可能会触发 CWE-502 漏洞。 2. 在项目中引入Jackson库 首先,需要...
CWE TOP25 2021和2020相比,一些主要的变动较大的数据。 2.2.1. 变动最大的缺陷 CWE-276 默认权限不正确(Incorrect Default Permissions): 从41到19 CWE-306 关键功能的认证机制缺失(Missing Authentication for Critical Function): 从24到11 CWE-502 不可信数据反序列化(Deserialization of Untrusted Data): 从2...
CWE-502:不可信数据的反序列化。这个问题属于对CWE-1415:资源控制的问题。这些年数据处理变得越来越重要,这个也给攻击者提供了一种通过构反序列化造数据,来绕过对数据安全检查的攻击方式。持续发现的Appache Siro、weblogic、tomcat、Jackson,Fastjson等一系列漏洞也说明了这一问题的风险。从防范上还是要坚持对外部数据...
CWE-502 不可信数据反序列化(Deserialization of Untrusted Data): 从21到13 CWE-862 授权机制缺失(Missing Authorization): 从25到18 CWE-77 在命令中使用的特殊元素转义处理不恰当(命令注入)(Improper Neutralization of Special Elements used in a Command (‘Command Injection’)): 从31到25 2.2.2. 下降最...
CWE TOP25 2021和2020相比,一些主要的变动较大的数据。 2.2.1. 变动最大的缺陷 CWE-276 默认权限不正确(Incorrect Default Permissions): 从41到19 CWE-306 关键功能的认证机制缺失(Missing Authentication for Critical Function): 从24到11 CWE-502 不可信数据反序列化(Deserialization of Untrusted Data): 从2...
CWE-502:不可信数据的反序列化。从2019年的23名,逐步上升到2022年的最高点12名,2023年回落到15名。 CWE-863:授权机制不正确。从2019年的35名,逐步上升到今年终于进入前25名的第24名。 对于这五个处于上升阶段的CWE缺陷,已经在前面的"相对稳定"和"始终在前25"的讨论中涉及,就不再一一解读。
CWE-276 默认权限不正确(Incorrect Default Permissions): 从 41 到 19 CWE-306 关键功能的认证机制缺失(Missing Authentication for CriticalFunction): 从 24 到 11 CWE-502 不可信数据反序列化(Deserialization of Untrusted Data): 从 21 到 13 CWE-862 授权机制缺失(Missing Authorization): 从 25 到 18 ...
限制不正确 [18] CWE-94 代码生成控制不当(“代码注入”) [19] CWE-798 硬编码凭证的使用 [20] CWE-400 不受控制的资源消耗 [21] CWE-772 有效生存期后缺少资源释放 [22] CWE-426 不受信任的搜索路径 [23] CWE-502 不可信数据的反序列化 [24] CWE-269 权限管理不当 [25] CWE-295 证书验证不...
12 CWE-502 不可信数据的反序列化 6.68 7 +1 13 CWE-190 整数溢出或绕行 6.53 2 -1 14 CWE-287 危险认证 6.35 4 0 15 CWE-798 使用硬编码的凭证 5.66 0 +1 16 CWE-862 缺少授权 5.53 1 +2 17 CWE-77 “命令注入” 5.42 5 +8 18 CWE-306 关键功能的认证机制缺失 5.15 6 -7 19 CWE-119...
15CWE-502不可信数据的反序列化5.5614-3 16CWE-77命令中使用的特殊元素未正确中和 ('命令注入')4.954+1 17CWE-119内存缓冲区范围内操作限制不正确4.757+2 18CWE-798使用硬编码凭据4.572-3 19CWE-918服务器端请求伪造 (SSRF)4.5616+2 20CWE-306关键功能缺少身份验证3.788-2 ...