CWE-1396:访问控制CWE-287:认证机制不恰当13 CWE-798:使用硬编码的凭证18 CWE-269:特权管理不恰当22 CWE-601:指向未可信站点的URL重定向(开放重定向)32 CWE-295:证书验证不正确34 CWE-1415:资源控制CWE-1321 对象原型属性的不当控制修改(原型污染)33 这些稳定的CWE 大致可以分为3大类: 外部输入导致:这类主...
Authentication to AWS services, for example, the popular S3 cloud storage service, using the BasicAWSCredentials class of the Amazon client SDK library with hardcoded access key/secret key in Java code is against best practices and violates CWE-798. Other approaches offered by AWS including AWS ...
2023版的TOP 25榜单中最大的变化是CWE-416(释放后使用)从第7升至第3,CWE-862(授权缺失)从第16升至第11,CWE-269(不当权限管理)从第29升至22,CWE-863(不正确的授权)从第28升至第24。此外,CWE-502(不开心时数据的反序列化)从第12降至第15,CWE-798(使用硬编码的凭证)从第15降至第18,CWE-276(不正确...
12.CWE-476:空指针解引用 13.CWE-287:不当认证 14.CWE-190:整数溢出 15.CWE-502:不可信数据反序列化 16.CWE-77:命令中使用的特殊元素处理不当(命令注入) 17.CWE-119:内存缓存的边界中操作限制不当 18.CWE-798:使用硬编码的凭证 19.CWE-918:服务器端请求伪造 (SSRF) 20.CWE-306:关键函数认证缺失 21...
不过,“OS 命令注入 (CWE-78)”弱点也没有那么常见了,从2011年的榜单霸主降到2019年的第6位。同样,使用硬编码凭证 (CWE-798) 也从第7位降到第19位。 Buttner还注意到,某些老旧问题因为开发人员的勤奋努力而消失。例如曾出现在2011年榜单上的CWE-134 即无法控制的格式字符串在2019年的榜单中消失。
Apex 798 The product contains hard-coded credentials, such as a password or cryptographic key, which it uses for its own inbound authentication, outbound communication to external components, or encryption of internal data. Apex 800 CWE entries in this view (graph) are listed in the 2010 CWE...
Only Filtering Special Elements at an Absolute Position CWE-798: Use of Hard-coded Credentials CWE-799: Improper Control of Interaction Frequency CWE-804: Guessable CAPTCHA CWE-805: Buffer Access with Incorrect Length Value CWE-806: Buffer Access Using Size of Source Buffer CWE-807: Reliance on...
18CWE-798使用硬编码凭据4.572-3 19CWE-918服务器端请求伪造 (SSRF)4.5616+2 20CWE-306关键功能缺少身份验证3.788-2 21CWE-362使用共享资源的并发执行中同步不正确 ('竞争条件')3.538+1 22CWE-269权限管理不正确3.315+7 23CWE-94代码生成的控制不正确 ('代码注入')3.306+2 ...
15 CWE-798 使用硬编码的凭证 5.66 0 +1 16 CWE-862 缺少授权 5.53 1 +2 17 CWE-77 “命令注入” 5.42 5 +8 18 CWE-306 关键功能的认证机制缺失 5.15 6 -7 19 CWE-119 对内存缓冲区范围内的操作限制不当 4.85 6 -2 20 CWE-276 默认权限不正确 4.84 0 -1 21 CWE-918 服务器端请求伪造(SSRF...
15 CWE-798 实用硬编码凭证 5.66 0 +1 16 CWE-862 缺少授权 5.53 1 +2 17 CWE-77 命令中实用的特殊元素的不正确中和(“命令注入”) 5.42 5 +8 18 CWE-306 缺少关键功能的身份验证 5.15 6 -7 19 CWE-119 内存缓冲区范围内的操作限制不当 4.85 6 -2 20 CWE-276 不正确的默认权限 4.84 0 -1 ...