CWE-11 ASP.NET误配置：创建Debug模式二进制 CWE-12 ASP.NET误配置：缺少定制错误页面 CWE-13 ASP.NET误配置：配置文件中存储口令 CWE-14 编译器移除释放缓冲区的代码 CWE-5 J2EE误配置：未经加密的数据传输 CWE-6 J2EE误配置：会话ID长度不充分 CWE-7 J2EE误配置：缺少定制错误页面 CWE-8 J2EE误配置：实体Bean远程声明 CWE-9 J2EE误配置：EJB方法弱访问权限 CWE-555 J2EE误配置：在配置文件中明文存储口令 CWE-319 敏感数据的明文传输 CWE-334 随机数的空间太小 CWE-756 定制错误页面缺失 CWE-668 将资源暴露给错误范围 CWE-266 特权授予不正确 CWE-215 通过Debug信息导致的信息暴露 CWE-260 配置文件中存储口令 CWE-733 编译器优化对安全关键代码的移除或修改 CWE-642 对关键状态数据的外部可控制 CWE-610 资源在另一范围的外部可控制索引 CWE-20 输入验证不恰当 CWE-4 J2EE环境问题 CWE-519 .NET环境问题 CWE-116 对输出编码和转义不恰当 CWE-119 内存缓冲区边界内操作的限制不恰当 CWE-133 字符串错误 CWE-136 类型错误 CWE-137 表示错误 CWE-199 信息管理错误 CWE-461 数据结构问题 http://vulsee.com CWE-471 对假设不可变数据的修改（MAID） CWE-1039 自动识别机制在检测或处理对抗性输入扰动时能力不足 CWE-693 保护机制失效 CWE-22 对路径名的限制不恰当（路径遍历） CWE-41 对路径等价的解析不恰当 CWE-59 在文件访问前对链接解析不恰当（链接跟随） CWE-66 标识虚拟资源的文件名处理不恰当 CWE-706 使用不正确的解析名称或索引 CWE-23 相对路径遍历 CWE-36 绝对路径遍历 CWE-160 起始特殊元素净化处理不恰当 CWE-162 结尾特殊元素转义处理不恰当 CWE-42 路径等价：’filename.’ (尾部点号) CWE-163 多重结尾特殊元素转义处理不恰当 CWE-44 路径等价：’file.name’ (内部点号) CWE-165 多重内部特殊元素净化处理不恰当 CWE-161 多重起始特殊元素净化处理不恰当 CWE-155 双字符或匹配符号转义处理不恰当 CWE-707 对消息或数据结构的处理不恰当 CWE-74 输出中的特殊元素转义处理不恰当（注入） CWE-75 特殊命令到另一不同平面时的净化处理不恰当（特殊命令注入） CWE-77 在命令中使用的特殊元素转义处理不恰当（命令注入） CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本） CWE-83 Web页面属性中脚本转义处理不恰当 CWE-436 解释冲突 CWE-943 数据查询逻辑中特殊元素的不当中和 CWE-913 动态管理代码资源的控制不恰当 CWE-691 不充分的控制流管理 CWE-94 对生成代码的控制不恰当（代码注入） CWE-96 静态存储代码中指令转义处理不恰当（静态代码注入） CWE-829 从非可信控制范围包含功能例程 CWE-694 使用多个具有重复标识的资源 CWE-1173 验证框架使用不当 CWE-573 调用者对规范的不恰当使用 CWE-710 编程规范违背 CWE-695 使用底层的功能例程 CWE-93 对CRLF序列的转义处理不恰当（CRLF注入） CWE-120 未进行输入大小检查的缓冲区拷贝（传统缓冲区溢出） CWE-125 跨界内存读 CWE-466 在预期范围外返回指针值 CWE-680 整数溢出导致缓冲区溢出 CWE-786 在缓冲区起始位置之前访问内存 CWE-787 跨界内存写 CWE-788 在缓冲区结束位置之后访问内存 CWE-805 使用不正确的长度值访问缓冲区 CWE-822 非可信指针解引用 CWE-823 使用越界的指针偏移 CWE-824 使用未经初始化的指针 CWE-825 无效指针解引用 CWE-682 数值计算不正确 CWE-240 对不一致结构体元素处理不恰当 CWE-134 使用外部控制的格式字符串 CWE-135 多字节字符串长度的计算不正确 CWE-251 经常被滥用：字符串管理 CWE-597 在字符串比较中使用了错误的操作符 CWE-681 数值类型间的不正确转换 CWE-704 不正确的类型转换 CWE-138 对特殊元素的转义处理不恰当 CWE-171 清理、规范化和比较错误 CWE-188 依赖数据/内存布局 CWE-228 语法无效结构处理不恰当 CWE-140 分隔符转义处理不恰当 CWE-164 内部特殊元素净化处理不恰当 CWE-159 特殊元素净化处理不恰当 CWE-703 对异常条件检查或处理不恰当 CWE-172 编码错误 CWE-178 大小写敏感处理不恰当 CWE-179 不正确的行为次序：过早验证 CWE-180 不正确的行为次序：规范化之前验证 CWE-181 不正确的行为次序：在过滤之前验证 CWE-182 数据的崩溃导致不安全数值 CWE-183 宽松定义的白名单 CWE-184 不完整的黑名单 CWE-185 不正确的正则表达式 CWE-187 部分比较 CWE-478 在Switch语句中缺失缺省条件 CWE-486 使用名称来比较对象 CWE-595 错误对对象引用当作对象内容进行比较 CWE-697 不充分的比较 CWE-768 不正确的快捷方式验证 CWE-675 对资源的重复操作 CWE-696 不正确的行为次序 CWE-1023 缺失要素致使对比不完全 CWE-1105 机器相关功能的封装不足 CWE-435 交互错误 CWE-129 对数组索引的验证不恰当 CWE-198 字节序使用不正确 CWE-839 未进行最小值检查的数值范围比较 CWE-1077 使用不正确的比较运算符比较浮点值 CWE-200 信息暴露 CWE-216 容器错误 CWE-221 信息丢失或遗漏 CWE-779 日志记录过多数据 CWE-359 侵犯隐私 CWE-203 通过差异性导致的信息暴露 CWE-205 通过行为差异性导致的信息暴露 CWE-755 对异常条件的处理不恰当 CWE-209 通过错误消息导致的信息暴露 CWE-669 在范围间的资源转移不正确 CWE-664 在生命周期中对资源的控制不恰当 CWE-285 授权机制不恰当 CWE-459 清理环节不完整 CWE-242 使用内在危险函数 CWE-243 未改变工作目录时创建chroot Jail CWE-244 在释放前清理堆内存不恰当（堆检查） CWE-245 J2EE不安全实践：对连接的直接管理 CWE-246 J2EE不安全实践：对套接字的直接使用 CWE-248 未捕获的异常 CWE-250 带着不必要的权限执行http://vulsee.com CWE-252 未加检查的返回值 CWE-558 在多线程应用程序中使用getlogin() CWE-229 值处理不恰当 CWE-233 参数问题 CWE-237 结构体元素处理不恰当 CWE-1177 使用被禁止的代码 CWE-226 在释放前未清除敏感信息 CWE-705 控制流范围控制不正确 CWE-657 违背安全设计原则 CWE-269 特权管理不恰当 CWE-754 对因果或异常条件的不恰当检查 CWE-255 凭证管理 CWE-256 明文存储口令 CWE-258 配置文件中缺省空口令 CWE-259 使用硬编码的口令 CWE-261 口令使用弱密码学算法 CWE-264 权限、特权和访问控制 CWE-272 最小特权原则违背 CWE-310 加密问题 CWE-330 使用不充分的随机数 CWE-345 对数据真实性的验证不充分 CWE-358 不恰当实现的标准安全检查 CWE-565 在信任Cookie未进行验证与完整性检查 CWE-602 服务端安全的客户端实施 CWE-653 不充分的划分 CWE-654 在安全决策中依赖单个元素 CWE-655 不充分的心理学可接受性 CWE-656 依赖构建于封闭的安全性 CWE-778 不充分的日志记录 CWE-798 使用硬编码的凭证 CWE-807 在安全决策中依赖未经信任的输入 CWE-262 未使用口令老化机制 CWE-263 口令老化拥有过长有效期 CWE-521 弱口令要求 CWE-522 不充分的凭证保护机制 CWE-549 口令域未进行输入隐藏 CWE-620 未经验证的口令修改 CWE-640 忘记口令恢复机制弱 CWE-287 认证机制不恰当 CWE-326 不充分的加密强度 CWE-404 不恰当的资源关闭或释放 CWE-265 权限/沙箱问题 CWE-275 Permission Issues CWE-282 属主管理不恰当 CWE-284 访问控制不恰当 CWE-749 暴露危险的方法或函数 CWE-267 特权定义了不安全动作 CWE-268 特权链锁 CWE-271 特权放弃/降低错误 CWE-274 不充分特权处理不恰当 CWE-501 违背信任边界 CWE-580 未定义super.clone()的clone()方法 CWE-648 特权API的不正确使用 CWE-766 关键变量被公开声明 CWE-767 通过公开方法可访问到关键的私有数据 CWE-276 缺省权限不正确 CWE-277 不安全的继承权限 CWE-278 不安全的预留继承权限 CWE-279 不安全的运行时授予权限 CWE-280 不充分权限或特权的处理不恰当 CWE-281 权限预留不恰当 CWE-618 暴露的不安全ActiveX方法 CWE-732 关键资源的不正确权限授予 CWE-290 使用欺骗进行的认证绕过 CWE-923 通信信道对预期端点的不适当限制 CWE-295 证书验证不恰当 CWE-672 在过期或释放后对资源进行操作 CWE-799 交互频率的控制不恰当 CWE-311 敏感数据加密缺失 CWE-320 密钥管理错误 CWE-325 缺少必要的密码学步骤 CWE-327 使用已被攻破或存在风险的密码学算法 CWE-328 可逆的单向哈希 CWE-329 在CBC加密模式中未使用随机化IV向量 CWE-347 密码学签名的验证不恰当 CWE-780 未配合OAEP使用RSA算法 CWE-922 敏感信息的不安全存储 CWE-312 敏感数据的明文存储 CWE-321 使用硬编码的密码学密钥 CWE-322 未进行实体认证的密钥交换 CWE-323 在加密中重用Nonce与密钥对 CWE-324 使用已过期的密钥 CWE-344 在动态变化上下文中使用不变值 CWE-331 信息熵不充分 CWE-335 PRNG种子错误 CWE-338 使用具有密码学弱点缺陷的PRNG CWE-340 可预测问题 CWE-341 从可观察状态的可预测 CWE-342 从先前值可预测准确值 CWE-343 从先前值可预测取值范围 CWE-804 可猜测的验证码 CWE-317 在GUI中的明文存储 CWE-356 产品UI接口未警示用户不安全动作 CWE-357 对危险操作的UI警示不充分 CWE-446 安全特性的UI矛盾 CWE-450 UI输入的多重解释 CWE-451 关键信息的UI错误表达 CWE-362 使用共享资源的并发执行不恰当同步问题（竞争条件） CWE-364 信号处理例程中的竞争条件 CWE-367 检查时间与使用时间(TOCTOU)的竞争条件 CWE-371 状态问题 CWE-376 临时文件问题 CWE-377 不安全的临时文件 CWE-380 特定技术的时间和状态问题 CWE-382 J2EE不安全实践：使用System.exit() CWE-383 J2EE不安全实践：直接使用线程 CWE-384 会话固定 CWE-385 隐蔽时间通道 CWE-386 符号名称未能映射到正确对象 CWE-387 信号错误 CWE-412 未加限制的外部可访问锁 CWE-557 并发问题 CWE-609 双重检查的加锁机制 CWE-613 不充分的会话过期机制 CWE-662 不恰当的同步机制 CWE-663 在并发上下文中使用不可再入的函数 CWE-673 范围定义的外部影响 CWE-674 未经控制的递归 CWE-698 重定向后执行（EAR） CWE-299 证书撤销验证不恰当 CWE-372 不完整的内部状态区分 CWE-374 传递不可变的对象给非可信方法 CWE-375 返回不可变的对象给非可信调用者 CWE-585 空的同步代码块 CWE-378 创建拥有不安全权限的临时文件 CWE-379 在具有不安全权限的目录中创建临时文件 CWE-381 J2EE时间和状态问题 CWE-543 在多线程上下文中使用缺失同步机制的Singleton设计模式 CWE-514 隐蔽通道 CWE-391 未经检查的错误条件 CWE-395 使用NullPointerException捕捉来检测空指针解引用 CWE-396 对通用异常声明Catch语句 CWE-397 对通用异常声明Throws语句 CWE-253 对函数返回值的检查不正确 CWE-390 未有动作错误条件的检测 CWE-392 错误条件报告缺失 CWE-393 返回错误的状态编码 CWE-394 未预期的状态编码或返回值 CWE-544 标准化错误处理机制缺失 CWE-584 在最后的代码块中返回 CWE-600 Servlet中未捕获的异常 CWE-617 可达断言 CWE-636 未能安全地进行程序失效（Failing Open） CWE-684 特定函数功能的不正确供给 CWE-401 在移除最后引用时对内存的释放不恰当（内存泄露） CWE-415 双重释放 CWE-416 释放后使用 CWE-457 使用未经初始化的变量 CWE-474 使用具有不一致性实现的函数 CWE-475 从输入到API的未定义行为 CWE-476 空指针解引用 CWE-477 对废弃函数的使用 CWE-400 未加控制的资源消耗（资源穷尽） CWE-402 将私有的资源传输到一个新的空间（资源泄露） CWE-405 不对称的资源消耗（放大攻击） CWE-410 不充分的资源池 CWE-411 资源锁定问题 CWE-568 没有super.finalize()的finalize()方法 CWE-590 释放并不在堆上的内存 CWE-761 释放一个不在缓冲区起始位置的指针 CWE-762 不匹配的内存管理例程 CWE-763 对无效指针或索引的释放 CWE-772 对已超过有效生命周期的资源丧失索引 CWE-413 资源加锁不恰当 CWE-414 加锁检查缺失 CWE-667 加锁机制不恰当 CWE-666 在生命周期错误阶段对资源进行操作 CWE-419 未保护的主要通道 CWE-420 未保护的候选通道 CWE-424 对候选路径的不恰当保护 CWE-426 不可信的搜索路径 CWE-427 对搜索路径元素未加控制 CWE-428 未经引用的搜索路径或元素 CWE-360 信任系统事件数据 CWE-638 未能使用完整仲裁 CWE-862 授权机制缺失 CWE-288 使用候选路径或通道进行的认证绕过 CWE-430 错误句柄的实施 CWE-431 句柄缺失 CWE-432 在敏感操作时危险信号处理例程未被禁用 CWE-433 未加解析的原始Web内容分发 CWE-434 危险类型文件的不加限制上传 CWE-479 信号处理例程中使用不可再入的函数 CWE-616 上传文件变量的不完整标识（PHP） CWE-219 Web根目录下的敏感数据 CWE-1038 不安全的自动优化 CWE-439 新版本或环境中的行为变化 CWE-440 预期行为违背 CWE-670 控制流实现总是不正确 CWE-834 过度迭代 CWE-841 行为工作流的不恰当实施 CWE-912 隐藏功能 CWE-1004 没有’HttpOnly’标志的敏感Cookie CWE-1007 屏幕显示出的不同编码的同形字母不易区分 CWE-1021 不当限制渲染UI层或帧 CWE-1022 使用windows.opener访问指向不可信目标的web链接 CWE-113 HTTP头部中CRLF序列转义处理不恰当（HTTP响应分割） CWE-352 跨站请求伪造（CSRF） CWE-425 直接请求（强制性浏览） CWE-444 HTTP请求的解释不一致性（HTTP请求私运） CWE-601 指向未可信站点的URL重定向（开放重定向） CWE-611 XML外部实体引用的不恰当限制（XXE） CWE-614 HTTPS会话中未设置’Secure’属性的敏感Cookie CWE-644 对HTTP头部进行脚本语法转义处理不恰当 CWE-646 依赖于外部提供文件的文件名或扩展名 CWE-647 使用未经净化的URL路径进行授权决策 CWE-776 DTD中递归实体索引的不恰当限制（XML实体扩展） CWE-784 在安全决策中依赖未经验证和完整性检查的Cookie CWE-827 文档类型定义的不恰当控制 CWE-918 服务端请求伪造（SSRF） CWE-671 缺乏对安全的管理控制 CWE-454 可信任变量或数据存储的外部初始化 CWE-455 初始化失效后的不存在变量 CWE-460 抛出异常的清理不恰当 CWE-665 初始化不恰当 CWE-908 对未经初始化资源的使用 CWE-910 使用过期的文件描述符 CWE-911 引用计数的更新不恰当 CWE-1051 使用硬编码的网络资源配置数据进行初始化 CWE-1052 在初始化中过多使用硬编码字面量 CWE-1188 不安全的默认资源初始化 CWE-909 资源初始化缺失 CWE-1187 使用未初始化的资源 CWE-462 在关联列表中具有重复Key CWE-463 对数据结构哨兵域的删除 CWE-464 对数据结构哨兵域的增加 CWE-467 在指针类型上使用sizeof() CWE-468 不正确的指针放大 CWE-469 使用指针的减法来确定大小 CWE-587 将一个固定地址复制给指针 CWE-588 尝试访问一个非结构体指针的子域 CWE-781 在METHOD_NEITHERIO控制代码中的IOCTL地址验证不恰当 CWE-758 依赖未定义、未指明或实现定义的行为 CWE-828 非异步安全功能中的信号处理例程 CWE-480 使用操作符不正确 CWE-488 对错误会话暴露数据元素 CWE-489 遗留的调试代码 CWE-491 公开的可克隆方法（对象劫持） CWE-492 使用包含敏感数据的内部对象 CWE-493 缺少Final Modifier的关键公开变量 CWE-495 从公开方法中返回私有的数组类型数据域 CWE-496 公开数据赋值给私有的数组类型数据域 CWE-497 将系统数据暴露到未授权控制的范围 CWE-1025 使用错误要素进行比较 CWE-494 下载代码缺少完整性检查 CWE-498 包含敏感信息的可克隆类 CWE-499 可序列化的类中包含敏感信息 CWE-582 公开、最终、静态声明的数组 CWE-583 公开声明的finalize()方法 CWE-506 内嵌的恶意代码 CWE-507 特洛伊木马 CWE-520 .NET误配置：使用伪装 CWE-554 ASP.NET误配置：没有使用输入验证框架 CWE-556 ASP.NET误配置：使用身份伪装 CWE-524 通过缓存导致的信息暴露 CWE-538 文件和路径信息暴露 CWE-552 对外部实体的文件或目录可访问 CWE-540 通过源代码导致的信息暴露 CWE-210 通过自主产生的错误消息导致的信息暴露 CWE-820 缺失同步机制 CWE-1078 不适当的源代码样式或格式 CWE-863 授权机制不正确 CWE-366 单线程内的竞争条件 CWE-567 在多现场上下文中未能对共享数据进行同步访问 CWE-572 调用线程的run()方法而非start()方法 CWE-560 在chmod类型参数中使用umask() CWE-628 使用不正确指定参数的函数调用 CWE-687 使用不正确指定参数值的函数调用 CWE-1164 不相关代码 CWE-89 SQL命令中使用的特殊元素转义处理不恰当（SQL注入） CWE-639 通过用户控制密钥绕过授权机制 CWE-570 表达式永假 CWE-571 表达式永真 CWE-783 操作符优先级逻辑错误 CWE-821 不正确的同步机制 CWE-1071 空的代码块 CWE-1076 对预期协议的遵守不足 CWE-914 动态识别变量的控制不恰当 CWE-712 OWASP Top Ten 2007 Category A1 – Cross Site Scripting (XSS) CWE-713 OWASP Top Ten 2007 Category A2 – Injection Flaws CWE-714 OWASP Top Ten 2007 Category A3 – Malicious File Execution CWE-715 OWASP Top Ten 2007 Category A4 – Insecure Direct Object Reference CWE-716 OWASP Top Ten 2007 Category A5 – Cross Site Request Forgery (CSRF) CWE-717 OWASP Top Ten 2007 Category A6 – Information Leakage and Improper Error Handling CWE-718 OWASP Top Ten 2007 Category A7 – Broken Authentication and Session Management CWE-719 OWASP Top Ten 2007 Category A8 – Insecure Cryptographic Storage CWE-720 OWASP Top Ten 2007 Category A9 – Insecure Communications CWE-721 OWASP Top Ten 2007 Category A10 – Failure to Restrict URL Access CWE-16 配置 CWE-189 数值错误 CWE-399 资源管理错误 CWE-78 OS命令中使用的特殊元素转义处理不恰当（OS命令注入） CWE-99 对资源描述符的控制不恰当（资源注入） CWE-91 XML注入（XPath盲注） CWE-487 依赖包一级的范围 CWE-738 CERT C Secure Coding Standard (2008) Chapter 5 – Integers (INT) CWE-739 CERT C Secure Coding Standard (2008) Chapter 6 – Floating Point (FLP) CWE-752 2009 Top 25 – Risky Resource Management CWE-872 CERT C++ Secure Coding Section 04 – Integers (INT) CWE-873 CERT C++ Secure Coding Section 05 – Floating Point Arithmetic (FLP) CWE-977 SFP Secondary Cluster: Design CWE-1003 已发布漏洞的简化映射的缺点 CWE-1137 SEI CERT Oracle Java安全编码标准-准则03.数值类型和运算（NUM） CWE-1158 SEI CERT C编码标准-准则04.整数（INT） CWE-1159 SEI CERT C编码标准-准则05.浮点（FLP） CWE-623 不安全的ActiveX控件被标记为脚本安全 CWE-757 在会话协商时选择低安全性的算法（算法降级） CWE-1024 不兼容类型的比较 CWE-581 对象模型违背：仅定义了一个等式与散列码 CWE-19 数据处理错误 CWE-21 路径名遍历和等值错误 CWE-254 7PK-安全功能 CWE-361 7PK-时间和状态 CWE-389 错误条件、返回值、状态代码 CWE-417 通道和路径错误 CWE-429 处理程序错误 CWE-438 行为问题 CWE-840 业务逻辑错误 CWE-442 网络问题 CWE-355 用户界面安全问题 CWE-452 初始化和清除错误 CWE-465 指针问题 CWE-490 移动代码问题 CWE-559 常见误用：形参和实参 CWE-569 表达问题 CWE-1006 错误的编码做法 CWE-388 7PK-错误 CWE-1005 7PK-输入验证和表示 CWE-227 7PK-API滥用 CWE-398 7PK-代码质量 CWE-485 7PK -封装 CWE-2 7PK-环境 CWE-166 缺失特殊元素净化处理不恰当 CWE-167 附加特殊元素净化处理不恰当 CWE-168 不一致特殊元素净化处理不恰当 CWE-333 TRNG不充分信息熵的处理不恰当 CWE-170 不恰当的空终结符 CWE-1041 使用冗余代码 CWE-1044 体系架构的水平层数超出预期范围 CWE-1048 具有大量外拨电话的可调用控制元素http://vulsee.com CWE-1059 不完整的文件 CWE-1061 封装不足 CWE-1065 在应用服务器上运行组件的资源管理控制元素 CWE-1066 缺少序列化控件元素 CWE-1068 软件实现和设计文档不一致 CWE-107 Structs：未使用的验证表单 CWE-1070 可序列化数据元素中包含不可序列化项的元素 CWE-1092 在多个架构层中使用相同的可调用控件元素 CWE-1093 数据表示过于复杂 CWE-110 Structs：无表单域的验证器 CWE-1101 生成代码中对运行时组件的依赖 CWE-1104 使用未维护的第三方组件 CWE-1120 代码过于复杂 CWE-1126 使用不必要的大范围声明变量 CWE-1127 警告或错误不足的编译 CWE-484 在Switch语句中省略Break语句 CWE-594 J2EE框架：将不可序列化的对象存储到磁盘上 CWE-722 OWASP Top Ten 2004 Category A1 – Unvalidated Input CWE-723 OWASP Top Ten 2004 Category A2 – Broken Access Control CWE-724 OWASP Top Ten 2004 Category A3 – Broken Authentication and Session Management CWE-725 OWASP Top Ten 2004 Category A4 – Cross-Site Scripting (XSS) Flaws CWE-726 OWASP Top Ten 2004 Category A5 – Buffer Overflows CWE-727 OWASP Top Ten 2004 Category A6 – Injection Flaws CWE-728 OWASP Top Ten 2004 Category A7 – Improper Error Handling CWE-729 OWASP Top Ten 2004 Category A8 – Insecure Storage CWE-730 OWASP Top Ten 2004 Category A9 – Denial of Service CWE-731 OWASP Top Ten 2004 Category A10 – Insecure Configuration Management CWE-90 LDAP查询中使用的特殊元素转义处理不恰当（LDAP注入） CWE-95 动态执行代码中指令转义处理不恰当（Eval注入） CWE-98 PHP程序中Include/Require语句包含文件控制不恰当(PHP远程文件包含) CWE-472 对假设不可变Web参数的外部可控制 CWE-301 认证协议中的反射攻击 CWE-102 Structs：重复验证表单 CWE-103 Structs：不完整的validate()方法定义 CWE-104 Structs：表单Bean未扩展验证类 CWE-106 Structs：插件框架未在使用 CWE-109 Structs：验证器关闭 CWE-283 未经验证的属主 CWE-525 通过浏览器缓存导致的信息暴露 CWE-551 不正确的行为次序：在解析与净化处理之前进行授权 CWE-708 不正确的属主授予 CWE-73 文件名或路径的外部可控制 CWE-296 证书信任链回溯不恰当 CWE-298 证书过期验证不恰当 CWE-302 使用假设不可变数据进行的认证绕过 CWE-304 认证中关键步骤缺失 CWE-307 过多认证尝试的限制不恰当 CWE-309 使用口令系统作为基本认证机制 CWE-117 日志输出的转义处理不恰当 CWE-539 通过持久性Cookie导致的信息暴露 CWE-591 敏感数据存储于加锁不恰当的内存区域 CWE-598 通过GET请求中的查询字符串导致的信息暴露 CWE-369 除零错误 CWE-526 通过环境变量导致的信息暴露 CWE-527 将CVS仓库暴露给非授权控制范围 CWE-528 将CoreDump文件暴露给非授权控制范围 CWE-529 将访问控制列表文件暴露给非授权控制范围 CWE-530 将备份文件暴露给非授权控制范围 CWE-531 通过测试代码导致的信息暴露 CWE-532 通过日志文件的信息暴露 CWE-541 通过包含源代码导致的信息暴露 CWE-548 通过目录枚举导致的信息暴露 CWE-735 CERT C Secure Coding Standard (2008) Chapter 2 – Preprocessor (PRE) CWE-736 CERT C Secure Coding Standard (2008) Chapter 3 – Declarations and Initialization (DCL) CWE-737 CERT C Secure Coding Standard (2008) Chapter 4 – Expressions (EXP) CWE-740 CERT C Secure Coding Standard (2008) Chapter 7 – Arrays (ARR) CWE-741 CERT C Secure Coding Standard (2008) Chapter 8 – Characters and Strings (STR) CWE-742 CERT C Secure Coding Standard (2008) Chapter 9 – Memory Management (MEM) CWE-743 CERT C Secure Coding Standard (2008) Chapter 10 – Input Output (FIO) CWE-744 CERT C Secure Coding Standard (2008) Chapter 11 – Environment (ENV) CWE-745 CERT C Secure Coding Standard (2008) Chapter 12 – Signals (SIG) CWE-746 CERT C Secure Coding Standard (2008) Chapter 13 – Error Handling (ERR) CWE-747 CERT C Secure Coding Standard (2008) Chapter 14 – Miscellaneous (MSC) CWE-748 CERT C Secure Coding Standard (2008) Appendix – POSIX (POS) CWE-547 使用硬编码、安全相关的常数 CWE-686 使用不正确参数类型的函数调用 CWE-190 整数溢出或超界折返 CWE-192 整数强制转换错误 CWE-197 数值截断错误 CWE-606 循环条件输入未经检查 CWE-676 潜在危险函数的使用 CWE-193 Off-by-one错误 CWE-88 参数注入或修改 CWE-128 超界折返处理错误 CWE-131 缓冲区大小计算不正确 CWE-241 非预期数据类型处理不恰当 CWE-37 路径遍历：’/absolute/pathname/here’ CWE-38 路径遍历：’\absolute\pathname\here’ CWE-39 路径遍历：’C:dirname’ CWE-403 将文件描述符暴露给不受控制的范围（文件描述符泄露） CWE-62 UNIX硬链接 CWE-64 Windows快捷方式跟随（.LNK） CWE-65 Windows硬链接 CWE-67 Windows设备名处理不恰当 CWE-176 Unicode编码处理不恰当 CWE-482 错误将赋值符号写成比较符号 CWE-561 死代码 CWE-563 未使用的变量 CWE-273 对于放弃特权的检查不恰当 CWE-363 允许符号链接跟随的竞争条件 CWE-562 返回栈上的变量地址 CWE-751 2009 Top 25 – Insecure Interaction Between Components CWE-753 2009 Top 25 – Porous Defenses CWE-916 使用具有不充分计算复杂性的口令哈希 CWE-771 对活跃已分配资源丧失索引 CWE-770 不加限制或调节的资源分配 CWE-409 对高度压缩数据的处理不恰当（数据放大攻击） CWE-625 宽松定义的正则表达式 CWE-223 安全相关信息的遗漏 CWE-790 特殊元素过滤不恰当 CWE-791 特殊元素过滤不完全 CWE-792 对一个或多个特殊元素实例的过滤不完全 CWE-795 仅在一个特定位置过滤特殊元素 CWE-808 2010 Top 25 – Weaknesses On the Cusp CWE-803 2010 Top 25 – Porous Defenses CWE-802 2010 Top 25 – Risky Resource Management CWE-801 2010 Top 25 – Insecure Interaction Between Components CWE-306 关键功能的认证机制缺失 CWE-212 敏感数据的不恰当跨边界移除 CWE-456 变量未经初始化 CWE-810 OWASP Top Ten 2010 Category A1 – Injection CWE-811 OWASP Top Ten 2010 Category A2 – Cross-Site Scripting (XSS) CWE-812 OWASP Top Ten 2010 Category A3 – Broken Authentication and Session Management CWE-813 OWASP Top Ten 2010 Category A4 – Insecure Direct Object References CWE-814 OWASP Top Ten 2010 Category A5 – Cross-Site Request Forgery(CSRF) CWE-815 OWASP Top Ten 2010 Category A6 – Security Misconfiguration CWE-816 OWASP Top Ten 2010 Category A7 – Insecure Cryptographic Storage CWE-817 OWASP Top Ten 2010 Category A8 – Failure to Restrict URL Access CWE-818 OWASP Top Ten 2010 Category A9 – Insufficient Transport Layer Protection CWE-819 OWASP Top Ten 2010 Category A10 – Unvalidated Redirects and Forwards CWE-759 使用未加Salt的单向哈希算法 CWE-408 不正确的行为次序：早期放大攻击 CWE-286 用户管理不正确 CWE-845 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 2 – Input Validation and Data Sanitization (IDS) CWE-846 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 3 – Declarations and Initialization (DCL) CWE-847 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 4 – Expressions (EXP) CWE-848 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 5 – Numeric Types and Operations (NUM) CWE-849 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 6 – Object Orientation (OBJ) CWE-850 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 7 – Methods (MET) CWE-851 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 8 – Exceptional Behavior (ERR) CWE-852 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 9 – Visibility and Atomicity (VNA) CWE-853 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 10 – Locking (LCK) CWE-854 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 11 – Thread APIs (THI) CWE-855 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 12 – Thread Pools (TPS) CWE-856 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 13 – Thread-Safety Miscellaneous (TSM) CWE-857 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 14 – Input Output (FIO) CWE-858 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 15 – Serialization (SER) CWE-859 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 16 – Platform Security (SEC) CWE-860 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 17 – Runtime Environment (ENV) CWE-861 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 18 – Miscellaneous (MSC) CWE-144 行分隔符转义处理不恰当 CWE-150 转义、元或控制序列转义处理不恰当 CWE-289 使用候选名称进行的认证绕过 CWE-838 输出上下文语义编码不恰当 CWE-500 公开静态字段没有标记为Final CWE-586 对Finalize()的显式调用 CWE-589 对非普适API的调用 CWE-230 缺失值处理不恰当 CWE-232 未定义值处理不恰当 CWE-690 未检查返回值导致空指针解引用 CWE-833 死锁 CWE-502 可信数据的反序列化 CWE-111 对不安全JNI的直接使用 CWE-300 通道可被非端点访问（中间人攻击） CWE-470 使用外部可控制的输入来选择类或代码（不安全的反射） CWE-349 在可信数据中接受外来的不可信数据 CWE-332 PRNG中信息熵不充分 CWE-336 PRNG中使用相同种子 CWE-337 PRNG中使用可预测种子 CWE-869 CERT C++ Secure Coding Section 01 – Preprocessor (PRE) CWE-870 CERT C++ Secure Coding Section 02 – Declarations and Initialization (DCL) CWE-871 CERT C++ Secure Coding Section 03 – Expressions (EXP) CWE-874 CERT C++ Secure Coding Section 06 – Arrays and the STL (ARR) CWE-875 CERT C++ Secure Coding Section 07 – Characters and Strings (STR) CWE-876 CERT C++ Secure Coding Section 08 – Memory Management (MEM) CWE-877 CERT C++ Secure Coding Section 09 – Input Output (FIO) CWE-878 CERT C++ Secure Coding Section 10 – Environment (ENV) CWE-879 CERT C++ Secure Coding Section 11 – Signals (SIG) CWE-880 CERT C++ Secure Coding Section 12 – Exceptions and Error Handling (ERR) CWE-881 CERT C++ Secure Coding Section 13 – Object Oriented Programming (OOP) CWE-882 CERT C++ Secure Coding Section 14 – Concurrency (CON) CWE-883 CERT C++ Secure Coding Section 49 – Miscellaneous (MSC) CWE-173 候选编码方案处理不恰当 CWE-174 对同一数据的双重编码 CWE-175 混合编码处理不恰当 CWE-191 整数下溢（超界折返） CWE-222 安全相关信息的截断 CWE-270 特权上下文切换错误 CWE-294 使用捕获-重放进行的认证绕过 CWE-308 使用单一因素认证机制 CWE-348 使用不可信的源 CWE-353 缺失完整性检查支持 CWE-354 完整性检查值验证不恰当 CWE-406 对网络消息容量的控制不充分（网络放大攻击） CWE-407 算法复杂性 CWE-453 不安全的缺省变量初始化 CWE-483 不正确的代码块分界 CWE-546 可疑注释 CWE-605 对同一端口的多重绑定 CWE-621 变量抽取错误 CWE-627 动态变量执行 CWE-835 不可达退出条件的循环（无限循环） CWE-998 SFP Secondary Cluster: Glitch in Computation CWE-1001 SFP辅助群集:使用不正确的应用编程接口 CWE-885 SFP Primary Cluster: Risky Values CWE-886 SFP Primary Cluster: Unused entities CWE-887 SFP Primary Cluster: API CWE-889 SFP Primary Cluster: Exception Management CWE-890 SFP Primary Cluster: Memory Access CWE-891 SFP Primary Cluster: Memory Management CWE-892 SFP Primary Cluster: Resource Management CWE-893 SFP Primary Cluster: Path Resolution CWE-894 SFP Primary Cluster: Synchronization CWE-895 SFP Primary Cluster: Information Leak CWE-896 SFP Primary Cluster: Tainted Input CWE-897 SFP Primary Cluster: Entry Points CWE-898 SFP Primary Cluster: Authentication CWE-899 SFP Primary Cluster: Access Control CWE-901 SFP Primary Cluster: Privilege CWE-902 SFP Primary Cluster: Channel CWE-903 SFP Primary Cluster: Cryptography CWE-904 SFP Primary Cluster: Malware CWE-905 SFP Primary Cluster: Predictability CWE-906 SFP Primary Cluster: UI CWE-907 SFP Primary Cluster: Other CWE-960 SFP Secondary Cluster: Ambiguous Exception Type CWE-961 SFP Secondary Cluster: Incorrect Exception Behavior CWE-962 SFP Secondary Cluster: Unchecked Status Condition CWE-970 SFP Secondary Cluster: Faulty Buffer Access CWE-971 SFP Secondary Cluster: Faulty Pointer Use CWE-972 SFP Secondary Cluster: Faulty String Expansion CWE-973 SFP Secondary Cluster: Improper NULL Termination CWE-974 SFP Secondary Cluster: Incorrect Buffer Length Computation CWE-969 SFP Secondary Cluster: Faulty Memory Release CWE-982 SFP Secondary Cluster: Failure to Release Resource CWE-983 SFP Secondary Cluster: Faulty Resource Use CWE-984 SFP Secondary Cluster: Life Cycle CWE-985 SFP Secondary Cluster: Unrestricted Consumption CWE-979 SFP Secondary Cluster: Failed Chroot Jail CWE-980 SFP Secondary Cluster: Link in Resource Name Resolution CWE-981 SFP Secondary Cluster: Path Traversal CWE-986 SFP Secondary Cluster: Missing Lock CWE-987 SFP Secondary Cluster: Multiple Locks/Unlocks CWE-988 SFP Secondary Cluster: Race Condition Window CWE-989 SFP Secondary Cluster: Unrestricted Lock CWE-963 SFP Secondary Cluster: Exposed Data CWE-964 SFP Secondary Cluster: Exposure Temporary File CWE-965 SFP Secondary Cluster: Insecure Session Management CWE-966 SFP Secondary Cluster: Other Exposures CWE-967 SFP Secondary Cluster: State Disclosure CWE-990 SFP Secondary Cluster: Tainted Input to Command CWE-991 SFP Secondary Cluster: Tainted Input to Environment CWE-992 SFP Secondary Cluster: Faulty Input Transformation CWE-993 SFP Secondary Cluster: Incorrect Input Handling CWE-994 SFP Secondary Cluster: Tainted Input to Variable CWE-1002 SFP辅助群集:意外的入口点 CWE-947 SFP Secondary Cluster: Authentication Bypass CWE-948 SFP Secondary Cluster: Digital Certificate CWE-949 SFP Secondary Cluster: Faulty Endpoint Authentication CWE-950 SFP Secondary Cluster: Hardcoded Sensitive Data CWE-951 SFP Secondary Cluster: Insecure Authentication Policy CWE-952 SFP Secondary Cluster: Missing Authentication CWE-953 SFP Secondary Cluster: Missing Endpoint Authentication CWE-954 SFP Secondary Cluster: Multiple Binds to the Same Port CWE-955 SFP Secondary Cluster: Unrestricted Authentication CWE-944 SFP Secondary Cluster: Access Management CWE-945 SFP Secondary Cluster: Insecure Resource Access CWE-946 SFP Secondary Cluster: Insecure Resource Permissions CWE-867 2011 Top 25 – Weaknesses On the Cusp CWE-866 2011 Top 25 – Porous Defenses CWE-865 2011 Top 25 – Risky Resource Management CWE-864 2011 Top 25 – Insecure Interaction Between Components CWE-956 SFP Secondary Cluster: Channel Attack CWE-957 SFP Secondary Cluster: Protocol Error CWE-958 SFP Secondary Cluster: Broken Cryptography CWE-959 SFP Secondary Cluster: Weak Cryptography CWE-508 非传播性的恶意代码 CWE-509 具传播性的恶意代码（病毒或蠕虫） CWE-510 后门 CWE-511 逻辑/时间炸弹 CWE-512 间谍软件 CWE-69 Windows::DATA交换数据流处理不恰当 CWE-968 SFP Secondary Cluster: Covert Channel CWE-339 PRNG中的种子空间太小 CWE-995 SFP Secondary Cluster: Feature CWE-996 SFP Secondary Cluster: Security CWE-997 SFP Secondary Cluster: Information Loss CWE-975 SFP Secondary Cluster: Architecture CWE-976 SFP Secondary Cluster: Compiler CWE-978 SFP Secondary Cluster: Implementation CWE-441 未有动机的代理或中间人（混淆代理） CWE-929 OWASP Top Ten 2013 Category A1 – Injection CWE-930 OWASP Top Ten 2013 Category A2 – Broken Authentication and Session Management CWE-931 OWASP Top Ten 2013 Category A3 – Cross-Site Scripting (XSS) CWE-932 OWASP Top Ten 2013 Category A4 – Insecure Direct Object References CWE-933 OWASP Top Ten 2013 Category A5 – Security Misconfiguration CWE-934 OWASP Top Ten 2013 Category A6 – Sensitive Data Exposure CWE-935 OWASP Top Ten 2013 Category A7 – Missing Function Level Access Control CWE-936 OWASP Top Ten 2013 Category A8 – Cross-Site Request Forgery (CSRF) CWE-937 OWASP Top Ten 2013 Category A9 – Using Components with Known Vulnerabilities CWE-938 OWASP Top Ten 2013 Category A10 – Unvalidated Redirects and Forwards CWE-643 XPath表达式中数据转义处理不恰当（XPath注入） CWE-652 XQuery表达式中数据转义处理不恰当（XQuery注入） CWE-523 凭证传输未经安全保护 CWE-650 在服务器端信任HTTP权限模型 CWE-303 认证算法的不正确实现 CWE-305 使用基本弱点进行的认证绕过 CWE-603 使用客户端的认证机制 CWE-297 对宿主不匹配的证书验证不恰当 CWE-593 认证绕过：SSL对象创建后修改OpenSSL CTX对象 CWE-599 缺失对OpenSSL证书的验证 CWE-293 使用Refer域进行认证 CWE-346 源验证错误 CWE-350 不恰当地信任反向DNS CWE-645 过度限制的账户封锁机制 CWE-422 未保护的Windows消息通道（Shatter） CWE-421 当访问候选通道时的竞争条件 CWE-437 端点特性的不完整模型 CWE-760 使用可预测Salt的单向哈希算法 CWE-201 通过发送数据的信息暴露 CWE-211 通过外部产生的错误消息导致的信息暴露 CWE-213 故意性的信息暴露 CWE-214 通过处理环境导致的信息暴露 CWE-220 FTP根目录下的敏感数据 CWE-257 以可恢复格式存储口令 CWE-313 在文件或磁盘上的明文存储 CWE-314 在注册表中的明文存储 CWE-315 在Cookie中的明文存储 CWE-316 在内存中的明文存储 CWE-318 在可执行体中的明文存储 CWE-535 通过Shell错误消息导致的信息暴露 CWE-536 通过Servlet运行时错误消息导致的信息暴露 CWE-537 通过Java运行时错误消息导致的信息暴露 CWE-550 通过服务器错误消息导致的信息暴露 CWE-607 公开静态最终域索引互斥的对象 CWE-612 通过私有数据的索引导致的信息暴露 CWE-615 通过注释导致的信息暴露 CWE-651 通过WSDL文件导致的信息暴露 CWE-202 通过数据查询的敏感数据暴露 CWE-204 响应差异性信息暴露 CWE-206 通过行为不一致性导致的内部状态信息暴露 CWE-207 通过外部行为不一致性导致的信息暴露 CWE-208 通过时间差异性导致的信息暴露 CWE-515 隐蔽存储通道 CWE-118 对可索引资源的访问不恰当（越界错误） CWE-121 栈缓冲区溢出 CWE-122 堆缓冲区溢出 CWE-123 任意地址可写任意内容条件 CWE-124 缓冲区下溢 CWE-126 缓冲区上溢读取 CWE-127 缓冲区下溢读取 CWE-785 路径操作函数中使用未进行大小限定的缓冲区 CWE-637 保护机制不必要的复杂性（未使用经济性的机制） CWE-649 依赖于未经完整性检查的安全相关输入的混淆或加密 CWE-115 输入的错误解释 CWE-24 路径遍历：’../filedir’ CWE-25 路径遍历：’/../filedir’ CWE-26 路径遍历：’dir/../filename’ CWE-27 路径遍历：’dir/../../filename’ CWE-28 路径遍历：’..\filedir’ CWE-29 路径遍历：’\..\filename’ CWE-30 路径遍历：’\dir\filename’ CWE-31 路径遍历：’dir\..\..\filename’ CWE-32 路径遍历：’…’ （三个点号） CWE-33 路径遍历：’….’ （多个点号） CWE-34 路径遍历：’….//’ CWE-35 路径遍历：’…/…//’ CWE-40 路径遍历：’\\UNC\share\name\'(WindowsUNC共享) CWE-43 路径等价：’filename….’ （多个尾部的点号） CWE-45 路径等价：’file…name’ （多个内部的点号） CWE-46 路径等价：’filename'(结尾空格) CWE-47 路径等价：’filename'(开头空格) CWE-48 路径等价：’filename'(内部空格) CWE-49 路径等价：’filename/'(尾部斜杠) CWE-50 路径等价：’//multiple/leading/slash’ CWE-51 路径等价：’/multiple//internal/slash’ CWE-52 路径等价：’/multiple/trailling/slash//’ CWE-53 路径等价：’\multiple\\internal\backslash’ CWE-54 路径等价：’filedir\'(结尾的反斜杠) CWE-55 路径等价：’/./’ (单点路径) CWE-56 路径等价：’filedir*’（通配符） CWE-57 路径等价：’fakedir/’ CWE-58 路径等价：Windows8.3形式文件名 CWE-72 Apple HFS+交换数据流路径处理不恰当 CWE-773 对活跃文件描述符或句柄丧失索引 CWE-775 缺失文件描述符或句柄在有效生命周期之后的释放处理 CWE-774 不加限制或调节进行文件描述符或句柄的分配 CWE-365 Switch语句中的竞争条件 CWE-368 上下文切换时的竞争条件 CWE-764 关键资源的多重加锁 CWE-765 关键资源的多重解锁 CWE-370 在初始检查后缺失对证书撤销的验证 CWE-105 Structs：缺少验证的表单域 CWE-108 Structs：未经验证的动作表单 CWE-112 XML验证缺失 CWE-130 长度参数不一致性处理不恰当 CWE-141 参数分隔符转义处理不恰当 CWE-142 值分隔符转义处理不恰当 CWE-143 记录分隔符转义处理不恰当 CWE-145 节分隔符转义处理不恰当 CWE-146 表达式/命令分隔符转义处理不恰当 CWE-147 输入终结符转义处理不恰当 CWE-148 输入起始符转义处理不恰当 CWE-149 引号语法转义处理不恰当 CWE-151 注释分隔符转义处理不恰当 CWE-152 宏符号转义处理不恰当 CWE-153 替代符号转义处理不恰当 CWE-154 变量名分隔符转义处理不恰当 CWE-156 空格转义处理不恰当 CWE-157 结对分隔符的净化处理不恰当 CWE-158 空字节或NULL字符转义处理不恰当 CWE-186 过度严格的正则表达式 CWE-553 外部可访问目录中的命令行Shell CWE-564 SQL注入：Hibernate CWE-619 数据库游标悬挂（游标注入） CWE-624 可执行体正则表达式错误 CWE-626 空字节交互错误 CWE-641 文件和其他资源名称限制不恰当 CWE-76 等价特殊元素的转义处理不恰当 CWE-80 Web页面中脚本相关HTML标签转义处理不恰当（基本跨站脚本） CWE-81 错误消息Web页面中脚本转义处理不恰当 CWE-82 Web页面IMG标签属性中脚本转义处理不恰当 CWE-84 Web页面编码URIScheme转义处理不恰当 CWE-85 双字符XSS操纵 CWE-86 Web页面标识中非法字符转义处理不恰当 CWE-87 替代XSS语法转义处理不恰当 CWE-97 Web页面中服务端引用（SSI）转义处理不恰当 CWE-114 流程控制 CWE-473 PHP参数外部修改 CWE-622 函数挂钩参数的验证不恰当 CWE-177 URL编码处理不恰当（Hex编码） CWE-231 额外值处理不恰当 CWE-234 未对缺失参数进行处理 CWE-235 对额外参数处理不恰当 CWE-236 对未定义参数处理不恰当 CWE-238 对不完整结构体元素处理不恰当 CWE-239 未能处理不完整的元素 CWE-351 不充分的类型区分 CWE-15 系统设置或配置在外部可控制 CWE-566 通过用户控制SQL主密钥绕过授权机制 CWE-447 在UI中的未实现或未支持特性 CWE-448 UI上的废弃特性 CWE-449 UI执行错误动作 CWE-224 通过候选名称导致的安全相关信息混淆 CWE-194 未预期的符号扩展 CWE-195 有符号至无符号转换错误 CWE-196 无符号至有符号转换错误 CWE-481 错误将比较符号写成赋值符号 CWE-579 J2EE不安全实践：将不可序列化的对象存储在会话中 CWE-683 使用不正确参数次序的函数调用 CWE-685 使用不正确参数个数的函数调用 CWE-688 使用不正确变量或索引作为参数的函数调用 CWE-574 EJB不安全实践：使用同步原语 CWE-575 EJB不安全实践：使用AWT Swing CWE-576 EJB不安全实践：使用Java I/O CWE-577 EJB不安全实践：使用套接字 CWE-578 EJB不安全实践：使用类加载器 CWE-608 Structs：动作表单类中存在非私有域 CWE-1084 具有过多文件或数据访问操作的可调用控件元素 CWE-1103 使用依赖于平台的第三方组件 CWE-1009 审计 CWE-1010 验证参与者 CWE-1011 授权参与者 CWE-1012 交叉切割 CWE-1013 加密数据 CWE-1014 识别参与者 CWE-1015 限制访问 CWE-1016 限制暴露 CWE-1017 锁定计算机 CWE-1018 管理用户会话 CWE-1019 输入验证 CWE-1020 验证消息完整性 CWE-291 信任自主报告的IP地址 CWE-836 在认证机制中使用口令哈希代替口令 CWE-782 无充分访问控制条件下暴露IOCTL CWE-921 在没有访问控制机制中存储敏感数据 CWE-939 自定义URL方案处理程序中的授权不正确 CWE-942 过度许可的跨域白名单 CWE-940 通信信道源的不正确验证 CWE-941 通信信道中错误指定的目的地 CWE-830 从非可信源包含Web功能例程 CWE-793 仅过滤一个特殊元素的单一实例 CWE-794 对特殊元素的多个实例的过滤不完全 CWE-796 仅过滤与一个标记相关的特殊元素 CWE-797 仅在一个绝对路径位置过滤特殊元素 CWE-924 通信信道中传输过程中消息完整性的不正确执行 CWE-1027 OWASP 2017年十大分类A1-注入 CWE-1028 OWASP 2017年十大分类A2-失效的身份认证 CWE-1029 OWASP 2017年十大分类A3-敏感信息泄漏 CWE-1030 OWASP 2017年十大分类A4-XML外部实体(XXE) CWE-1031 OWASP 2017年十大分类A5-失效的访问控制 CWE-1032 OWASP 2017年十大分类A6-安全配置错误 CWE-1033 OWASP 2017年十大分类A7-跨站脚本(XSS) CWE-1034 OWASP 2017年十大分类A8-不安全的反序列化 CWE-1035 OWASP 2017年十大分类A9-使用含有已知漏洞的组件 CWE-1036 OWASP 2017年十大分类A10-不足的日志记录和监控 CWE-917 表达式语言语句中使用的特殊元素转义处理不恰当（表达式语言注入） CWE-1176 低效的CPU计算 CWE-1129 CISQ质量测量-可靠性 CWE-1130 CISQ质量测量-可维护性 CWE-1131 CISQ质量措施-安全 CWE-1132 CISQ质量标准-绩效 CWE-1045 带有虚拟析构函数的父类和没有虚拟析构函数的子类 CWE-1047 具有循环依赖关系的模块 CWE-1056 具有可变参数的可调用控制元素 CWE-1058 具有非最终静态可存储或成员元素的多线程上下文中的可调用控制元素 CWE-1062 父类参考子类 CWE-1069 空异常块 CWE-1079 没有虚析构函数方法的父类 CWE-1082 存在类实例自毁控制元素 CWE-1083 从外部预期的数据管理器组件进行数据访问 CWE-1087 没有虚析构函数的虚拟方法类 CWE-1088 远程资源无超时同步访问 CWE-1097 不带关联比较控制元素的持久可存储数据元素 CWE-1096 在没有正确锁定或同步的情况下创建单实例类实例 CWE-1098 包含指针项但没有正确的复制控件元素的数据元素 CWE-1054 在不必要的深度水平层上调用控制元素 CWE-1055 具体类的多重继承 CWE-1064 包含过多签名参数的可调用控件元素 CWE-1074 继承过深的类 CWE-1075 开关块外部无条件控制流转移 CWE-1080 源代码文件的代码行数过多 CWE-1085 可调用控制元素中的注释代码量过大 CWE-1086 子类过多的类 CWE-1090 包含从另一个类访问成员元素的方法 CWE-1095 循环内循环条件值更新 CWE-1121 McCabe环复杂性过大 CWE-789 未经控制的内存分配 CWE-1042 单例类元素外部的静态成员数据元素 CWE-1043 聚合大量非原始元素的元素 CWE-1046 使用字符串连接创建不可变文本 CWE-1049 大数据表中的数据查询操作过多 CWE-1050 循环内过多的平台资源消耗 CWE-1057 预期的数据管理组件之外的数据访问操作 CWE-1060 无效的服务器端数据访问次数过多 CWE-1063 在静态代码块中创建类实例 CWE-1067 对数据资源进行顺序搜索的过度执行 CWE-1072 不使用连接池访问数据资源 CWE-1073 使用过多的非SQL调用控制组件进行数据资源访问 CWE-1089 索引过多的大数据表 CWE-1091 在不调用析构函数方法的情况下使用对象 CWE-1094 数据资源的索引范围扫描过大 CWE-1134 SEI CERT Oracle Java安全编码标准-准则00.输入验证和数据清理（IDS） CWE-1135 SEI CERT Oracle Java安全编码标准-准则01.声明和初始化（DCL） CWE-1136 SEI CERT Oracle Java安全编码标准-准则02.表达式（EXP） CWE-1138 SEI CERT Oracle Java安全编码标准-准则04.字符和字符串（STR） CWE-1139 SEI CERT Oracle Java安全编码标准-准则05.对象方向（OBJ） CWE-1140 SEI CERT Oracle Java安全编码标准-指南06.方法（MET） CWE-1141 SEI CERT Oracle Java安全编码标准-准则07.异常行为（ERR） CWE-1142 SEI CERT Oracle Java安全编码标准-准则08.可见性和原子性（VNA） CWE-1143 SEI CERT Oracle Java安全编码标准-指南09.锁定（LCK） CWE-1144 SEI CERT Oracle Java安全编码标准-准则10.线程API（THI） CWE-1145 SEI CERT Oracle Java安全编码标准-准则11.线程池（TPS） CWE-1146 SEI CERT Oracle Java安全编码标准-准则12.线程安全杂项（TSM） CWE-1147 SEI CERT Oracle Java安全编码标准-准则13.输入输出（FIO） CWE-1148 SEI CERT Oracle Java安全编码标准-准则14.序列化（SER） CWE-1149 SEI CERT Oracle Java安全编码标准-准则15.平台安全性（SEC） CWE-1150 SEI CERT Oracle Java安全编码标准-准则16.运行时环境（ENV） CWE-1151 SEI CERT Oracle Java安全编码标准-准则17.Java本机接口（JNI） CWE-1152 SEI CERT Oracle Java安全编码标准-准则49.其他（MSC） CWE-1153 SEI CERT Oracle Java安全编码标准-准则50.安卓（DRD） CWE-1175 SEI CERT Oracle Java安全编码标准-准则18.并发性（CON） CWE-1155 SEI CERT C编码标准-准则01.预处理程序（PRE） CWE-1156 SEI CERT C编码标准-准则02.声明和初始化（DCL） CWE-1157 SEI CERT C编码标准-准则03.表达式（EXP） CWE-1160 SEI CERT C编码标准-准则06.数组（ARR） CWE-1161 SEI CERT C编码标准-准则07.字符和字符串（STR） CWE-1162 SEI CERT C编码标准-准则08.内存管理（MEM） CWE-1163 SEI CERT C编码标准-准则09.输入输出（FIO） CWE-1165 SEI CERT C编码标准-准则10.环境（ENV） CWE-1166 SEI CERT C编码标准-准则11.信号（SIG） CWE-1167 SEI CERT C编码标准-准则12.错误处理（ERR） CWE-1168 SEI CERT C编码标准-准则13.应用程序编程接口（API） CWE-1169 SEI CERT C编码标准-准则14.并发性（CON） CWE-1170 SEI CERT C编码标准-准则48.其他（MSC） CWE-1171 SEI CERT C编码标准-准则50.POSIX（POS） CWE-1172 SEI CERT C编码标准-准则51. Microsoft Windows（WIN） CWE-843 使用不兼容类型访问资源（类型混淆） CWE-1179 SEI CERT Perl编码标准-指南01.输入验证和数据消毒（IDS） CWE-1180 SEI CERT Perl编码标准-准则02.声明和初始化（DCL） CWE-1181 SEI CERT Perl编码标准-准则03.表达式（EXP）http://vulsee.com CWE-1182 SEI CERT Perl编码标准-准则04.整数（INT） CWE-1183 SEI CERT Perl编码标准-准则05.字符串（STR） CWE-1184 SEI CERT Perl编码标准-指南06.面向对象编程（OOP） CWE-1185 SEI CERT Perl编码标准-准则07.文件输入和输出（FIO） CWE-1186 SEI CERT Perl编码标准-准则50.其他（MSC）

阅读:2205834 | 评论:0 | 标签:精品分享 CWE完整漏洞清单 CWE清单 CWE漏洞清单 漏洞