CWE(Common Weakness Enumeration,通用缺陷枚举)

参考链接:https://cwe.mitre.org/

CWE(Common Weakness Enumeration,通用缺陷枚举)和CVE(Common Vulnerabilities & Exposures,通用漏洞和风险)都是在计算机软件安全领域中非常重要的公开数据网站。

CWE是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。它是一个完整的缺陷数据库,为组织技术堆栈的基于软件和硬件的安全性的弱点识别和修复提供了基线。CWE成立于2006年,建立之初分别借鉴了来自CVE等组织对缺陷概念描述和缺陷分类。

CVE则是一个由企业界、政府界和学术界综合参与的国际性组织,采取一种非盈利的组织形式,其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。CVE就好像是一个字典表,为广泛认同的信息安全漏洞给出一个公共的名称。

总的来说,CVE是用于标识和命名特定漏洞的标准,而CWE则是用于分类和描述可能导致漏洞的弱点类型的标准。这两个都是由美国国土安全部(DHS)网络安全和基础设施安全局(CISA)赞助¹。MITRE公司既定期发布业界广泛引用的软件产品漏洞库CVE,也公布并实时更新包括识别、减轻和阻止软件漏洞的源代码漏洞词典库CWE及相关通用标准。


CWE(Common Weakness Enumeration,通用缺陷枚举)数据库列出了许多常见的安全漏洞类型。以下是一些例子:

  1. 越界写入 (CWE-787):当应用程序在预期输入缓冲区的边界之外写入数据时,就会出现这种安全漏洞。当应用程序执行指针运算或更改索引以引用内存缓冲区之外的位置时,也可能导致该弱点。这种内存损坏通常会导致意外的代码执行、崩溃或数据损坏。

  2. 越界读取 (CWE-125):当应用程序可以读取预期输出缓冲区边界之外的数据时,就会出现 CWE-125 漏洞。攻击者可以从越界内存中读取敏感信息,以获取可用于绕过身份验证机制并利用其他弱点进行进一步攻击的秘密值。该漏洞还可能导致内存缓冲区溢出、分段错误,甚至系统崩溃。

  3. 输入中和不当 (CWE-79):也称为跨站点脚本 (XSS),当攻击者可以将恶意代码注入网站时,就会出现此漏洞,通常使用浏览器端脚本。该弱点在动态生成的网页中接受不受信任的数据而没有适当中和的应用程序中很常见。

  4. 输入验证不当 (CWE-20):CWE-20 弱点出现在接受输入数据但未正确验证所提供输入是否具有安全处理所需属性的应用程序中。当应用程序接收到更改的控制流路径时,攻击者可以制作访问有限资源或远程代码执行的意外输入。

  5. 特殊元素中和不当 (CWE-78):CWE-78 漏洞发生在使用上游组件提供的外部输入构建部分或整个操作系统命令的软件应用程序中。此漏洞也称为OS 命令注入,当应用程序未消除输入中存在的元素时,该漏洞处于活动状态,这些元素在发送到预期的下游组件时可能会修改命令。

以上只是一部分常见的 CWE 类型,实际上 CWE 数据库对超过600类和基本级别的弱点进行分类,最严重的类型列在CWE Top 25。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/127387.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

WordPress外链页面安全跳转插件

老白博客我参照csdn和腾讯云的外链跳转页面,写了一个WordPress外链安全跳转插件:给网站所有第三方链接添加nofollow标签和重定向功能,提高网站安全性。插件包括两个样式,由于涉及到的css不太一样,所以分别写了两个版本…

矢量图形编辑软件illustrator 2023 mac中文软件特点

illustrator 2023 mac是一款矢量图形编辑软件,用于创建和编辑排版、图标、标志、插图和其他类型的矢量图形。 illustrator 2023 mac软件特点 矢量图形:illustrator创建的图形是矢量图形,可以无限放大而不失真,这与像素图形编辑软…

赋能制造业高质量发展,释放采购数字化新活力——企企通亮相武汉2023国际智能制造创新论坛

摘要 “为应对成本上升、供应端不稳定、供应链上下游协同困难、决策无数据依据等问题,利用数字化手段降本增效、降低潜在风险十分关键。在AI等先进技术发展、供应链协同效应和降本诉求等机遇的驱动下,采购供应链数字化、协同化成为企业激烈竞争的优先选…

几种常见的接地类型详解

接地作为一种应用最为广泛的电气安全措施,是指电力系统和电气装置的中性点、电气设备的外露导电部分和装置外导电部分经由导体与大地相连。接地的作用主要是防止人身遭受电击、设备和线路遭受损坏、预防火灾和防止雷击、防止静电损害和保障电力系统正常运行。按其功…

【高光谱与多光谱:空间-光谱双优化模型驱动】

A Spatial–Spectral Dual-Optimization Model-Driven Deep Network for Hyperspectral and Multispectral Image Fusion (一种用于高光谱与多光谱图像融合的空间-光谱双优化模型驱动深度网络) 深度学习,特别是卷积神经网络(CNN…

华为OD机考算法题:阿里巴巴找黄金宝箱(V)

题目部分 题目阿里巴巴找黄金宝箱&#xff08;V&#xff09;难度易题目说明一贫如洗的樵夫阿里巴巴在去砍柴的路上&#xff0c;无意中发现了强盗集团的藏宝地&#xff0c;藏宝地有编号从0-N的箱子&#xff0c;每个箱子上面贴有一个数字。 阿里巴巴念出一个咒语数字 k ( k<N…

python django获取某个角色的某个数据和——例如:获取所有订单的应付金额总和

model关系如下&#xff1a; class Order(models.Model):订单product models.ForeignKey(Product, on_deletemodels.SET_NULL, blankTrue, nullTrue, verbose_name"产品")no models.CharField(max_length50, blankTrue, nullTrue, verbose_name订单编号, db_indexT…

vue中this.$refs.queryParams.resetFields()重置表单

this.$refs.queryParams.resetFields(); 重置ref值为queryParams的表单&#xff0c;在vue中我们选中元素不在通过像Js中的DOM&#xff0c;而是通过ref来选中某个元素结点&#xff0c;这也是ref属性的基本功能之一。 1、用法不对 要想this.$refs[‘form’].resetFields()方法有…

设计模式_观察者模式

观察者模式 介绍 设计模式定义案例问题堆积在哪里解决办法观察者是行为型设计模式 多个对象 观察 1个对象小强考试完 成绩公布了 家长/同学得知成绩后 做出不同反应一个一个通知很麻烦 先通知谁 也有讲究的 信息发布方 抽象出一个信息管理类 负责管理监听者 类图 代码 Obse…

设计模式——状态模式(State Pattern)

文章目录 一、状态模式&#xff08;State Pattern&#xff09;类型&#xff1a;行为型模式功能&#xff1a; 二、例子1、菜鸟教程例子1.1、定义状态接口1.2、定义开始状态实现类1.3、定义停止状态实现类1.4、创建 Context 类1.5、使用 Context 来查看当状态 State 改变时的行为…

如何搭建稳定独享的美国IP?优质美国静态住宅代理IP哪里有?

相信很多做跨境电商或外贸如TikTok shop、Facebook商店、Amazon、领英的玩家都需要搭建独享的美国IP环境来运营店铺&#xff0c;那么如何搭建稳定独享的IP环境呢&#xff1f;加下来为你详细介绍&#xff0c;并为你推荐优质的美国静态住宅代理IP&#xff0c;助力您的跨境业务。 …

Android WMS——WindowState介绍(十三)

前面文章中的 addWindow 方法,首先获取了 DisplayContent,紧接着判断窗口的 type 类型并标记。然后获取 token 信息,且该信息是通过 DisplayContent 中的方法获取的。最后就是创建并保存 WindowState 信息。 一、简介 在窗口管理系统(Window Manager Service,WMS)中,Wi…

ubuntu PX4 vscode stlink debug设置

硬件 stlink holybro debug板 pixhawk4 安装openocd 官方文档&#xff0c;但是第一步安装建议从源码安装&#xff0c;bug少很多 github链接 编译安装&#xff0c;参考 ./bootstrap (when building from the git repository)./configure [options]makesudo make install安装后…

Spring Cloud的ElasticSearch的进阶学习

目录 数据聚合 Bucket示例 Metric示例 RestAPI实现聚合 自动补全 使用拼音分词 自定义分词器 实现自动补全 RestAPI实现自动补全功能 数据同步 同步调用 异步通知 监听binlog 数据聚合 聚合可以实现对文档数据的统计、分析、运算。聚合常见的有三类&#xff1a; …

[rancher] rancher部署和使用的一些思考

最近因为工作需要&#xff0c;学习调研rancher的使用 k8s作为主流微服务部署的基础&#xff0c;已经逐渐在工作中普及。但是k8s dashboard用于生产管理&#xff0c;还是有所欠缺&#xff1a;我们需要一个k8s之上的管理平台。经过调研&#xff0c;目前rancher已经迭代开发至v2.8…

大模型之十九-对话机器人

大语言模型的最早应用是Chatbot&#xff0c;其实我最早接触语义理解在2014年&#xff0c;2014年做智能音箱的时候&#xff0c;那时也是国内第一批做智能音箱的&#xff0c;在现在看起来当时的智能音箱比较傻&#xff0c;很多问题无法回答&#xff0c;长下文效果也不好&#xff…

Linux安装sysv-rc-conf报错:出现NO_PUBKEY...问题,急需安装证书的情况

Linux下安装MySQL时&#xff0c;出现一个使用chkconfig命令&#xff0c;但无该命令的情况&#xff01; chkconfig --add mysql # 出现chkconfig command not found于是就展开了一次替换的行动&#xff0c;将chkconfig替换为sysv-rc-conf 第一步&#xff1a; 尝试直接安装&am…

飞桨国际化应用案例:挪威广告企业Adevinta应用PaddleOCR提质增效

Adevinta&#xff0c;位于挪威奥斯陆的跨国在线分类广告公司&#xff0c;以其全球市场的图像处理API为特色。Adevinta的主要使命是构建全球买家和卖家之间的桥梁&#xff0c;其在线市场运营覆盖11个国家&#xff0c;拥有众多备受信任的品牌&#xff0c;如荷兰的marktplaats、德…

Spring底层原理(五)

Spring底层原理(五) 本章内容 介绍Aware接口与InitializingBean接口、Bean的初始化与销毁、Scope Aware接口 作用:用于注入一些与容器相关的信息 类名作用BeanNameAware注入Bean的名称BeanFactoryAware注入BeanFactory容器ApplicationContextAware注入ApplicationContext容…

Java之SpringCloud Alibaba【七】【Spring Cloud微服务网关Gateway组件】

一、网关简介 大家都都知道在微服务架构中&#xff0c;一个系统会被拆分为很多个微服务。那么作为客户端要如何去调用这么多的微服务呢?如果没有网关的存在&#xff0c;我们只能在客户端记录每个微服务的地址&#xff0c;然后分别去用。 这样的架构&#xff0c;会存在着诸多…