CWE(Common Weakness Enumeration,通用缺陷枚举)

参考链接:https://cwe.mitre.org/

CWE(Common Weakness Enumeration,通用缺陷枚举)和CVE(Common Vulnerabilities & Exposures,通用漏洞和风险)都是在计算机软件安全领域中非常重要的公开数据网站。

CWE是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。它是一个完整的缺陷数据库,为组织技术堆栈的基于软件和硬件的安全性的弱点识别和修复提供了基线。CWE成立于2006年,建立之初分别借鉴了来自CVE等组织对缺陷概念描述和缺陷分类。

CVE则是一个由企业界、政府界和学术界综合参与的国际性组织,采取一种非盈利的组织形式,其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。CVE就好像是一个字典表,为广泛认同的信息安全漏洞给出一个公共的名称。

总的来说,CVE是用于标识和命名特定漏洞的标准,而CWE则是用于分类和描述可能导致漏洞的弱点类型的标准。这两个都是由美国国土安全部(DHS)网络安全和基础设施安全局(CISA)赞助¹。MITRE公司既定期发布业界广泛引用的软件产品漏洞库CVE,也公布并实时更新包括识别、减轻和阻止软件漏洞的源代码漏洞词典库CWE及相关通用标准。


CWE(Common Weakness Enumeration,通用缺陷枚举)数据库列出了许多常见的安全漏洞类型。以下是一些例子:

  1. 越界写入 (CWE-787):当应用程序在预期输入缓冲区的边界之外写入数据时,就会出现这种安全漏洞。当应用程序执行指针运算或更改索引以引用内存缓冲区之外的位置时,也可能导致该弱点。这种内存损坏通常会导致意外的代码执行、崩溃或数据损坏。

  2. 越界读取 (CWE-125):当应用程序可以读取预期输出缓冲区边界之外的数据时,就会出现 CWE-125 漏洞。攻击者可以从越界内存中读取敏感信息,以获取可用于绕过身份验证机制并利用其他弱点进行进一步攻击的秘密值。该漏洞还可能导致内存缓冲区溢出、分段错误,甚至系统崩溃。

  3. 输入中和不当 (CWE-79):也称为跨站点脚本 (XSS),当攻击者可以将恶意代码注入网站时,就会出现此漏洞,通常使用浏览器端脚本。该弱点在动态生成的网页中接受不受信任的数据而没有适当中和的应用程序中很常见。

  4. 输入验证不当 (CWE-20):CWE-20 弱点出现在接受输入数据但未正确验证所提供输入是否具有安全处理所需属性的应用程序中。当应用程序接收到更改的控制流路径时,攻击者可以制作访问有限资源或远程代码执行的意外输入。

  5. 特殊元素中和不当 (CWE-78):CWE-78 漏洞发生在使用上游组件提供的外部输入构建部分或整个操作系统命令的软件应用程序中。此漏洞也称为OS 命令注入,当应用程序未消除输入中存在的元素时,该漏洞处于活动状态,这些元素在发送到预期的下游组件时可能会修改命令。

以上只是一部分常见的 CWE 类型,实际上 CWE 数据库对超过600类和基本级别的弱点进行分类,最严重的类型列在CWE Top 25。

相关推荐
AI创界者5 分钟前
【实战演练】基于 Kali Linux 的自动化漏洞扫描与安全加固指南
网络·安全·web安全
听你说3232 分钟前
五新智能:以成套智能装备赋能全球工程建设
安全·创业创新
小五传输1 小时前
内外网文件交换系统产品推荐 解决隔离网络文件交换5类难题
大数据·运维·安全
技术不好的崎鸣同学12 小时前
[ACTF2020 新生赛]Exec 思路及解法
算法·安全·web安全
MartinYeung521 小时前
[论文学习]SecureGate:通过令牌级门控学习何时安全地揭示PII-深度解析
学习·安全
广州市顺风搬家服务有限公司21 小时前
实验室搬迁科普专业流程防护标准与合规核心要点
网络·其他·安全
Xi-Xu1 天前
什么时候需要 Multi-agent:不是分工,而是运行边界
人工智能·经验分享·安全
2501_943782351 天前
【共创季稿事节】密码生成器:如何构建一个安全的随机密码生成工具
android·数据库·安全·鸿蒙·鸿蒙系统
轩渃1 天前
Claude Fable5回归即翻车:跑分暴跌、安全拦截、账单猫腻,AI模型的信任危机
人工智能·安全·回归
Chockmans1 天前
春秋云境CVE-2021-42897(保姆级教学)
计算机网络·安全·web安全·网络安全·安全威胁分析·春秋云境·cve-2021-42897