外部输入校验、访问控制问题、注入问题、内存安全是过去5年的主要安全问题,并会在今后的一段时间持续,特别需要注意在5年中一直都在TOP 25中的16类问题; 需要特别关注快速增长的安全问题:CWE-918:服务端请求伪造(SSRF)、CWE-362:使用共享资源的并发执行不恰当同步问题(竞争条件); 由于代码生成的快速应用,需要重点关...
这种请求可能包括HTTP、HTTPS、FTP等多种协议,从而允许攻击者绕过网络隔离、访问内部网络、执行恶意代码等。 查找SSRF漏洞的CWE编号: 经过查找,SSRF漏洞通常与CWE-918(Server-Side Request Forgery)编号相关联。CWE-918是一个通用的弱点枚举,用于描述允许攻击者通过诱导后端服务器向攻击者控制的资源发起请求的情况。 验证...
CWE-276 默认权限不正确(Incorrect Default Permissions): 从41到19 CWE-918 服务器端请求伪造(SSRF)(Server-Side Request Forgery (SSRF)): 从27到24 CWE-77 在命令中使用的特殊元素转义处理不恰当(命令注入)(Improper Neutralization of Special Elements used in a Command (‘Command Injection’)): 从31到2...
如果这些属性是从最终用户(也就是攻击者)无法访问的配置文件中读取的,则不存在漏洞。换句话说,如果...
18.CWE-798:使用硬编码的凭证 19.CWE-918:服务器端请求伪造 (SSRF) 20.CWE-306:关键函数认证缺失 21.CWE-362:使用同步不当的共享资源而造成并发执行(竞争条件) 22.CWE-269:权限管理不当 23.CWE-94:代码生成控制不当 (代码注入) 24.CWE-863:不正确的授权 ...
References Burp Collaborator Vulnerability classifications CWE-610: Externally Controlled Reference to a Resource in Another Sphere CWE-918: Server-Side Request Forgery (SSRF) 1.1. https://127.0.0.1:8010/ Summary Severity: High Confidence: Certain Host: https://127.0.0.1:8010 Path: / Issue detail...
Veracode Static Analysis reports flaws of CWE-918 Server-Side Request Forgery (SSRF) when it detects a HTTP Request that is sent out from the application, containing input from outside of the application (for example from a HTTP Request, a value from a file, a database result, webservice...
21 CWE-918 服务器端请求伪造(SSRF) 4.27 8 +3 22 CWE-362 使用共享资源的并发执行与不当的同步("竞争条件") 3.57 6 +11 23 CWE-400 不受控制的资源消耗 3.56 2 +4 24 CWE-611 对XML外部实体引用的不当限制 3.38 0 -1 25 CWE-94 “代码注入” 3.32 4 +3 具体来看该榜单的几个排名变化,有几...
21 CWE-918 服务器端请求伪造(SSRF) 4.27 8 +3 22 CWE-362 使用不正确同步的共享资源并发执行(“竞争条件”) 3.57 6 +11 23 CWE-400 不受控制的资源消耗 3.56 2 +4 24 CWE-611 SML外部实体饮用的不当限制 3.38 0 -1 25 CWE-94 代码生成控制不当(“代码注入”) 3.32 4 +3 分析与评论 与去年相...
14CWE-190整数溢出或环绕5.894-1 15CWE-502不可信数据的反序列化5.5614-3 16CWE-77命令中使用的特殊元素未正确中和 ('命令注入')4.954+1 17CWE-119内存缓冲区范围内操作限制不正确4.757+2 18CWE-798使用硬编码凭据4.572-3 19CWE-918服务器端请求伪造 (SSRF)4.5616+2 ...