OWASP TOP 10 2021 对应的CWE缺陷(官方)

在OWASP TOP 10 2021年发布TOP 10中,比较好的给出了每类漏洞类型对应的CWE编号,这对于开发应用安全的厂商来说无疑是一件好事。 不过大家应该也可以看到,A1-A10都是给出了几种CWE,但是官方并没有给出比较全面的的对应关系,前面我的文档中有分析并给出来了,大家可以去参考。

 ID

中文名称

英文名称

CWE

TOP 25

A01

失效的访问控制

Broken Access  Control

CWE 200 : Exposure of Sensitive Information to an Unauthorized Actor(将敏感信息泄漏给未经授权的参与者)、

CWE top 25

CWE-201: Exposure of Sensitive Information Through Sent Data(通过发送的数据泄漏敏感信息)

 

CWE-352: Cross-Site Request Forgery (跨站请求伪造)

 

A02

加密机制失效

Cryptographic Failures

CWE-259: Use of Hard-coded Password (使用硬编码密码)

 

CWE-327: Broken or Risky Crypto Algorithm(损坏或有风险的加密算法)

 

CWE-331 Insufficient Entropy (熵不足)

 

A03

注入

Injection

CWE-79: Cross-site Scripting(跨站点脚本)

CWE top 25

CWE-89:SQL Injection(SQL注入)

CWE top 25

CWE-73:External Control of File Name or Path(文件名或路径的外部控制)

 

A04

不安全设计

Insecure Design

CWE209:Generation of Error Message Containing Sensitive Information(生成包含敏感信息的错误消息)

 

CWE-256:Unprotected Storage of Credentials(凭证的未保护存储)

 

CWE-501:Trust Boundary Violation(信任边界冲突)

 

CWE-522:Insufficiently Protected Credentials(凭证保护不足)

CWE top 25

A05

安全配置错误

Security Misconfigureation

CWE-16 Configuration(配置)

 

CWE-611Improper Restriction of XML External Entity Reference(XML 外部实体引用的不当限制)

CWE top 25

A06

自带缺陷和过时的组件

Vulnerable and Outdated Components

CWE-1104 Use of Unmaintained Third-Party
Components
(使用未维护第三方组件)

 

2013

 

2017

 

A07

身份识别和身份验证错误

Identification and Authentication Failures

CWE-297: Improper Validation of Certificate with Host Mismatch(与不匹配
的服务端进行不适当的凭证确认)

 

CWE-287: Improper Authentication(不适当的认证)

CWE top 25

CWE-384: Session Fixation(会话固定攻击)

 

A08

软件和数据完整性故障

Software and Data Integrity Failures

CWE-829:Inclusion of Functionality from Untrusted Control Sphere(包含来自不受信任控制领域的功能)

 

CWE-494:Download of Code Without Integrity Check(不进行完整性检查的代码下载)

 

CWE-502:Deserialization of Untrusted Data(不可信数据的反序列化)

CWE top 25

A09

安全日志和监控故障

Security Logging and Monitoring Failures

CWE-117 Improper Output Neutralization for Logs(日志输出不当)

 

CWE-223 Omission of Security-relevant Information(安全事件信息漏报)

 

CWE-532 Insertion of Sensitive Information into Log File(在日志文件中包含敏感信息)

 

A10

服务器请求伪造

Server-Side Request Forgery

CWE-918 Server-Side Request Forgery( SSRF) 服务端请求伪造

CWE top 25

(结束)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/178416.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Python+Selenium WebUI自动化框架 -- 基础操作封装

前言: 封装Selenium基本操作,让所有页面操作一键调用,让UI自动化框架脱离高成本、低效率时代,将用例的重用性贯彻到极致,让烦人的PO模型变得无所谓,让一个测试小白都能编写并实现自动化。 知识储备前提&a…

ethtool -T显示ptp过滤器信息源码分析

ptp过滤器 新设备使用ethtool -T显示ptp过滤器信息: linux_cx7110:~# ethtool -T eth0 Time stamping parameters for eth0: Capabilities:hardware-transmit (SOF_TIMESTAMPING_TX_HARDWARE)software-transmit (SOF_TIMESTAMPING_TX_SOFTWARE)hardware-r…

中小型公司如何搭建运维平台,rancher、kubersphere、rainbond

很多开发人员应该是了解过运维发布相关的平台或实际操作过应用发布,但又通常不是十分熟悉。在一个初创公司,或者没有成熟的运维发布平台的公司,如果让你来搭建一套发布平台,你应该如何去抉择呢? 这里我简单介绍几种。…

本地开启https,配置nodeJs服务

服务端和客户端各有一对公钥和私钥,使用公钥加密的数据只能用私钥解密,建立https传输之前,客户端和服务端互换公钥。客户端发送数据前使用服务端公钥加密,服务端接收到数据后使用私钥解密,反之亦如此。 1. 公钥私钥的…

【Linux】:信号在内核里的处理

信号的发送和保存 一.内核中的信号处理二.信号集操作函数1.一些信号函数2.sigprocmask3.sigpending4.写代码 三.信号在什么时候处理的四.再谈地址空间 一.内核中的信号处理 1.实际执行信号的处理动作称为信号递达(Delivery )2.信号从产生到递达之间的状态,称为信号未决(Pending…

『 Linux 』僵尸进程与孤儿进程

文章目录 🚀僵尸进程 - Z(zomble)🛰️ 僵尸状态与死亡状态的区别 🛰️🛰️ 僵尸状态的危害 🛰️ 🚀孤儿进程🛰️ 为什么托孤 🛰️ 🚀僵尸进程 - Z(zomble) 一个进程的创…

米贸搜| Youtube运营:免费涨粉的16个技巧

1、要求观众订阅你的频道 要求用户订阅你的频道无非是再简单不过的方法了,有时你需要做的只是一个及时的提醒而已。红色的订阅按钮通常很难被忽略,但是你可能还需要提醒用户点击订阅按钮旁边的“铃铛”图标,以打开消息提醒,以便在…

vue找依赖包的网址

https://www.npmjs.com/ 浅收藏一下

心大数据结构题型

选择题 2021 数据处理的单位:数据元素 矩阵压缩存储 2022 ①单链表头插法选择 ②矩阵压缩存储,行优先 ③删除链表节点的时间复杂度 ④稀疏矩阵存储 ⑤平衡二叉树时间复杂度 ⑥栈和队列的出队,问栈的大小至少多少 ⑦拓扑排序 ⑧参考书 360…

30.0/集合/ArrayList/LinkedList

目录 30.1什么是集合? 30.1.2为什么使用集合 30.1.3自己创建一个集合类 30.1.3 集合框架有哪些? 30.1.2使用ArrayList集合 30.2增加元素 30.3查询的方法 30.4删除 30.5 修改 30.6泛型 30.1什么是集合? 我们之前讲过数组,数组中它也可以存放多个元素。集合…

关于torch.backends.cudnn.benchmark = True

cuDNN 是英伟达专门为深度神经网络所开发出来的 GPU 加速库,针对卷积、池化等等常见操作做了非常多的底层优化,比一般的 GPU 程序要快很多。大多数主流深度学习框架都支持 cuDNN,PyTorch 自然也不例外。在使用 GPU 的时候,PyTorch…

Cenos7系统通过链接一键安装LAMP项目环境(linux,apache,mysql,php)

前言:嫌装环境麻烦,以下介绍自动安装环境的方法 一.环境配置 根据自己需要选择 操作系统:CenOS 7.x以上Web服务器:Apache 2.4数据库:MySQL 5.7开发框架:ThinkPHP 5.0(PHP5.0以上)…

CountDownLatch和CyclicBarrier源码详解

其他系列文章导航 Java基础合集 设计模式合集 多线程合集 分布式合集 ES合集 文章目录 其他系列文章导航 文章目录 前言 一、CountDownLatch和CyclicBarrier 二、CountDownLatch源码分析 三、CyclicBarrier源码分析 四、总结 前言 我现在有个场景:现在我有50个任务&…

【Web】NewStarCtf Week2 个人复现

目录 ①游戏高手 ②include 0。0 ③ez_sql ④Unserialize? ⑤Upload again! ⑥ R!!C!!E!! ①游戏高手 经典前端js小游戏 检索与分数相关的变量 控制台直接修改分数拿到flag ②include 0。0 禁了base64和rot13 尝试过包含/var/log/apache/access.log,ph…

Git 入门指南

什么是 Git? Git 的目前最流行的分布式版本控制软件,可以帮助我们高效敏捷的处理任何项目。 版本管理 要理解 Git 我们首先要理解版本管理。 版本管理就是开发过程中用于管理对文件、目录或者工程等内容的修改历史,可以让我们方便的查看历史…

java学习part20内部类

116-面向对象(高级)-类的成员之五:内部类_哔哩哔哩_bilibili 1.内部类

在Anaconda中用命令行安装环境以及安装包

一、下载Anaconda 下载地址 二、创建环境 1. 打开Anaconda命令行 2.创建环境 conda create -n 环境名称 python3.10(需要的python版本号) 3.激活环境 activate 环境名4.下载安装包 pip install 模块名 -i https://pypi.tuna.tsinghua.edu.cn/simple5.下载torch 官网&…

Python语言学习笔记之三(字符编码)

本课程对于有其它语言基础的开发人员可以参考和学习,同时也是记录下来,为个人学习使用,文档中有此不当之处,请谅解。 什么是字符编码 计算机从本质上来说只认识二进制中的0和1,字符编码(Character Encoding) 是一种将…

大数据-之LibrA数据库系统告警处理(ALM-37006 Coordinator进程异常)

告警解释 当出现如下情况时,产生该告警: CN所在机器发生硬件故障(断电、硬盘损坏等)。CN实例数据目录中的postgresql.conf配置文件不存在或者其中某个配置参数不正确。CN实例线程无法监听IP,或者无法绑定监听端口。C…

【Makefile】和【CMake】的区别

Makefile 和 CMake 的区别 Makefile 和 CMake 都是用于构建项目的工具,但它们有一些区别。 Makefile: 语法: Makefile 使用自己的语法规则,包括规则、目标、依赖等。这是一种特定于 make 工具的语法。 平台依赖: Makefile 是平…