CWE/SANS TOP 25 2022

我整理了CWE/SANS TOP25 2022年的这25类缺陷,分类适合的开发语言,其实主要是C/C++语言的缺陷相对于Java、PHP、Python、C#等更高级的语言的不同,所以分为适合C/C++语言和其它语言。但是大家不要纠结,例如SQL难道C/C++语言程序没有吗? 答案肯定是有,但是相对出现较少,而且C、C++语言程序大家关心的更多是运行时缺陷,而不是安全漏洞,因为C/C++语言应用的场景大多是在嵌入式环境下,驱动硬件设备等,物理隔绝的情况比较多,更多关心的程序本身的是否导致异常,而不是被外界攻击。

|-----------|-----------------------------------------------------------------------------------------|----------------------|
| CWE编号 | 名称 | 适合语言(1是C、2是所有语言) |
| CWE-787 | 越界写入(Out-of-bounds Writes) | 1 |
| CWE-79 | 跨站脚本(Cross-site Scripting) | 2 |
| CWE-125 | 越界读取(Out-of-bounds Read) | 1 |
| CWE-20 | 不正确的输入验证(Improper Input Validation) | 2 |
| CWE-78 | OS命令注入('OS Command Injection') | 1、2 |
| CWE-89 | SQL注入('SQL Injection') | 2 |
| CWE-416 | 使用已释放的内存(Use After Free) | 1 |
| CWE-22 | 路径遍历('Path Traversal') | 2 |
| CWE-352 | 跨站请求伪造(CSRF)(Cross-Site Request Forgery) | 2 |
| CWE-434 | 不受限制上传危险类型文件(Unrestricted Upload of File with Dangerous Type) | 2 |
| CWE-306 | 关键功能认证机制缺失(Missing Authentication for Critical Function) | 2 |
| CWE-190 | 整数溢出或环绕(Integer Overflow or Wraparound) | 1 |
| CWE-502 | 不可信数据反序列化(Deserialization of Untrusted Data) | 2 |
| CWE-287 | 不正确的认证(Improper Authentication) | 2 |
| CWE-476 | 空指针解引用(NULL Pointer Dereference) | 1、2 |
| CWE-798 | 使用硬编码凭证(Use of Hard-coded Credentials) | 1、2 |
| CWE-119 | 对内存缓冲区内的操作限制不当(Improper Restriction of Operations within the Bounds of a Memory Buffer) | 1 |
| CWE-862 | 授权机制缺失(Missing Authorization) | 2 |
| CWE-276 | 默认权限不正确(Incorrect Default Permissions) | 2 |
| CWE-200 | 信息暴露给未授权行为者(Exposure of Sensitive Information to an Unauthorized Actor) | 2 |
| CWE-522 | 凭证保护不足(Insufficiently Protected Credentials) | 2 |
| CWE-732 | 关键资源的权限分配错误(Incorrect Permission Assignment for Critical Resource) | 2 |
| CWE-611 | XML外部实体引用限制不当(XXE)(Improper Restriction of XML External Entity Reference) | 2 |
| CWE-918 | 服务端请求伪造(SSRF)(Server-Side Request Forgery ) | 2 |
| CWE-77 | 命令行注入('Command Injection') | 2 |

(结束)

相关推荐
留白的云5 天前
Android app反编译 攻与防
android·安全性测试
柴郡猫^O^7 天前
OSCP - Proving Grounds - Sorcerer
安全·网络安全·安全性测试
柴郡猫^O^10 天前
OSCP - Proving Grounds - DC-4
安全·网络安全·安全性测试
渗透测试老鸟-九青12 天前
面试经验分享 | 杭州某安全大厂渗透测试岗
经验分享·安全·网络安全·面试·渗透·漏洞·代码审计
Linux运维老纪24 天前
网络安全之渗透测试(Penetration Testing for Network Security)
安全·网络安全·云计算·运维开发·devops·安全性测试
白初&1 个月前
文件上传代码分析
java·c++·python·php·代码审计
H_kiwi1 个月前
APT 参与者将恶意软件嵌入 macOS Flutter 应用程序中
java·python·安全·flutter·macos·安全威胁分析·安全性测试
测试小小怪下士1 个月前
单元测试、集成测试、系统测试、验收测试、压力测试、性能测试、安全性测试、兼容性测试、回归测试(超详细的分类介绍及教学)
功能测试·单元测试·测试用例·集成测试·压力测试·模块测试·安全性测试
小春学渗透1 个月前
DAY111PHP开发框架&THIKNPHP&反序列化&POP利用链&RCE执行&文件删除
java·开发语言·安全·php·mvc·代码审计
云起无垠1 个月前
【论文速读】| F2A:一种利用伪装安全检测智能体进行提示注入的创新方法
安全·语言模型·安全性测试