2023版的TOP 25榜单中最大的变化是CWE-416(释放后使用)从第7升至第3,CWE-862(授权缺失)从第16升至第11,CWE-269(不当权限管理)从第29升至22,CWE-863(不正确的授权)从第28升至第24。此外,CWE-502(不开心时数据的反序列化)从第12降至第15,CWE-798(使用硬编码的凭证)从第15降至第18,CWE-276(不正确...
Authentication to AWS services, for example, the popular S3 cloud storage service, using the BasicAWSCredentials class of the Amazon client SDK library with hardcoded access key/secret key in Java code is against best practices and violates CWE-798. Other approaches offered by AWS including AWS ...
CWE-1396:访问控制CWE-287:认证机制不恰当13 CWE-798:使用硬编码的凭证18 CWE-269:特权管理不恰当22 CWE-601:指向未可信站点的URL重定向(开放重定向)32 CWE-295:证书验证不正确34 CWE-1415:资源控制CWE-1321 对象原型属性的不当控制修改(原型污染)33 这些稳定的CWE 大致可以分为3大类: 外部输入导致:这类主...
12.CWE-476:空指针解引用 13.CWE-287:不当认证 14.CWE-190:整数溢出 15.CWE-502:不可信数据反序列化 16.CWE-77:命令中使用的特殊元素处理不当(命令注入) 17.CWE-119:内存缓存的边界中操作限制不当 18.CWE-798:使用硬编码的凭证 19.CWE-918:服务器端请求伪造 (SSRF) 20.CWE-306:关键函数认证缺失 21...
Detect CWE-798 in Android Application (ovaa.apk) This scenario seeks to find hard-coded credentials in the APK file. CWE-798 Use of Hard-coded Credentials We analyze the definition of CWE-798 and identify its characteristics. See CWE-798 for more details
CWE-798 使用硬编码的凭证 CWE-798 使用硬编码的凭证 Use of Hard-coded Credentials 结构: Simple Abstraction: Base 状态: Draft 被利用可能性:High 基本描述 The software containshard-coded credentials, such as a password or cryptographic key, which it uses for its own inbound authentication, outbound...
[17] CWE-611 XML外部实体引用的限制不正确 [18] CWE-94 代码生成控制不当(“代码注入”) [19] CWE-798 硬编码凭证的使用 [20] CWE-400 不受控制的资源消耗 [21] CWE-772 有效生存期后缺少资源释放 [22] CWE-426 不受信任的搜索路径 [23] CWE-502 不可信数据的反序列化 [24] CWE-269 权限管理...
CWE-94 代码注入 5.36 19 CWE-798 使用硬编码凭据 5.12 20 CWE-400 不受控制的资源消耗 5.04 21 CWE-772 有效生命期后未能释放资源 5.04 22 CWE-426 不可信的搜索路径 4.40 23 CWE-502 对不可信的数据反序列化 4.30 24 CWE-269 权限管理不当 4.23 25 CWE-295 证书验证不当 4.06 2019之不同的数据来源...
OWASP -Top 10 2021 Category A7 - Identification and Authentication Failures OWASP -Top 10 2017 Category A2 - Broken Authentication CWE -CWE-798 - Use of Hard-coded Credentials CWE -CWE-259 - Use of Hard-coded Password Derived from FindSecBugs ruleHard Coded Password Available In:...
不过,“OS 命令注入 (CWE-78)”弱点也没有那么常见了,从2011年的榜单霸主降到2019年的第6位。同样,使用硬编码凭证 (CWE-798) 也从第7位降到第19位。 Buttner还注意到,某些老旧问题因为开发人员的勤奋努力而消失。例如曾出现在2011年榜单上的CWE-134 即无法控制的格式字符串在2019年的榜单中消失。