关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识!该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 【悟空云课堂】第十四期:使用已破解或危险的加密算法导致的漏洞(CWE-327: Use of a Broken or Risky Cry...
TatianaGarcia94 changed the title Vulnerability detected CWE ID 327 in version 11.0.1.3.5 muk_dms Vulnerability detected CWE ID 327 in version (11.0.1.3.5 muk_dms) (11.0.2.0.0 muk_dms_file) (11.0.1.1.0 muk_security) Mar 31, 2021 Sign up for free to subscribe to this conversation on...
For instance, CWE ID 119 (Improper restriction of operations within the bounds of a memory buffer) maps to the Bug Finder defects, Array access out of bounds and Pointer access out of bounds. For more information on the CWE Compatibility and Effectiveness Program, see CWE Compatibility....
Employee ID: <%= eid %> 检测方法,类似于自动静态分析和黑盒检测。 针对每个弱点,作者都列举了多种防止措施,如下所示: 你要了解你的数据会被用于何种环境,以及应该以何种方式对其进行编码。当在不同的组件之间传送数据的时候,或者生成可以同时包含多种编码的输出时尤为重要,比方说,web页面或者由多个部分组成的...
一组固定的输入值(比如数字 id)到实际的文件名或 url,并拒绝所有其他输 入。 例如,ID 1 可以映射到“收件箱.txt”,ID 2 可以映射到“profile.txt”。特性如 ESAPI 38 AccessReferenceMap 提供此功能。 架构和设计 对于任何在客户端执行的安全检查,要确保这些检查复制在服务器端,为 避免 CWE - 602。
CWELanguageQuery idQuery name CWE-14 C/C++ cpp/memset-may-be-deleted Call to memset may be deleted CWE-20 C/C++ cpp/count-untrusted-data-external-api Frequency counts for external APIs that are used with untrusted data CWE-20 C/C++ cpp/count-untrusted-data-external-api-ir Frequency counts...
CWELanguageQuery idQuery name CWE-11 C# cs/web/debug-binary Creating an ASP.NET debug binary may reveal sensitive information CWE-12 C# cs/web/missing-global-error-handler Missing global error handler CWE-13 C# cs/password-in-configuration Password in configuration file CWE-20 C# cs/count-untr...
CWE-5: J2EE Misconfiguration: Data Transmission Without Encryption CWE-6: J2EE Misconfiguration: Insufficient Session-ID Length CWE-7: J2EE Misconfiguration: Missing Custom Error Page CWE-8: J2EE Misconfiguration: Entity Bean Declared Remote CWE-9: J2EE Misconfiguration: Weak Access Permissions for EJB...
一般弱点列举(Common Weakness Enumeration CWE)是由美国国家安全局首先倡议的战略行动,该行 动的组织最近发布了《2010年CWE/SANS最危险的程序设计错误(PDF)》一文,其中列举了作者认为最 严重的25种代码错误,同时也是软件最容易受到攻击的点。曾在InfoQ中发布过OWASP Top10列表,它所关注的是web应用程序的安全风险...
排名CWEID 名称 [1] CWE-89 在 SQL 命令中实用的特定特定元素处理不当(SQL 注 入) [2] CWE-78 在 OS 命令中使用的特定元素处理不当(命令攻击) [4] CWE-79 网页架构保持失败(跨平台脚本攻击) [9] CWE-434 对危险类型文件的上载不加限制 [12] CWE-352 跨站点请求伪造(CSRF) [22] CWE...