cwe专题
用 CWE API 减轻软件产品中的安全风险
1. CWE REST API 推出的目的 8 月 8 号,CWE™ 计划推出了“CWE REST API”。 CWE™计划由美国网络安全与基础设施安全局(Cybersecurity & Infrastructure Security Agency(CISA))资助的国土安全系统工程与发展研究所(Homeland Security Systems Engineering and Develop
CWE给年轻人的25条建议
时隔8年,CWE发布了25条最危险的软件编码错误。值得D站的每一个年轻人深度学习。这25条建议是导致软件严重漏洞的最频繁发生的关键错误。 简言之—— 必看, 必学, 必自省! 任何一个敲代码的都要重视这些错误,攻击者通常利用这些漏洞来控制系统、获取敏感信息或导致拒绝服务的情况。 25个太长,不妨先看前5个。排名第一的是“对内存缓冲区内的操作限制不当”,在CWE中的编号为CWE-119。
【悟空云课堂】第十七期 违规的对象模型:对象只定义了Equals和Hashcode方法之一的漏洞(CWE-581)
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 【悟空云课堂】第十七期 违规的对象模型:对象只定义了Equals和Hashcode方法之一的漏洞(CWE-581: Object Model Violation:
【悟空云课堂】第十六期:使用不安全的随机值漏洞(CWE-330: Use of Insufficiently Random Values)
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 【悟空云课堂】第十六期:使用不安全的随机值漏洞(CWE-330: Use of Insufficiently Random Values) 什么是使用不安全的随
【悟空云课堂】第十四期:使用已破解或危险的加密算法导致的漏洞(CWE-327: Use of a Broken or Risky Cryptographic Algorithm)
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 【悟空云课堂】第十四期:使用已破解或危险的加密算法导致的漏洞(CWE-327: Use of a Broken or Risky Cryptographic Al
【悟空云课堂】第十三期:敏感信息的明文传输漏洞(CWE-319: Cleartext Transmission of Sensitive Information)
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 【悟空云课堂】第十三期:敏感信息的明文传输漏洞(CWE-319: Cleartext Transmission of Sensitive Information)
【悟空云课堂】第十一期:内存泄漏漏洞(CWE-401: Missing Release of Memory after Effective Lifetime)
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 【悟空云课堂】第十一期:内存泄漏漏洞(CWE-401: Missing Release of Memory after Effective Lifetime)
【悟空云课堂】第八期:switch中缺少default导致的代码缺陷(CWE-478: Missing Default Case in Switch Statement)
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 【悟空云课堂】第八期:switch中缺少default导致的代码缺陷(CWE-478: Missing Default Case in Switch Statem
【悟空云课堂】第七期:不安全的反射漏洞(CWE-470: Use of Externally-Controlled Input to Select Classes or Code)
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 【悟空云课堂】第七期:不安全的反射漏洞(CWE-470: Use of Externally-Controlled Input to Select Classes
【悟空云课堂】第三十九期:违反信任边界(CWE-501: Trust Boundary Violation)
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 什么是违反信任边界? 让数据从不受信任的一边移到受信任的一边却未经验证。 违反信任边界漏洞的构成条件有哪些? 当程序模糊了受信任和不受信任之间的界限时,就会发生
【悟空云课堂】第三十七期:除数有可能为零(CWE-369:DivideBy Zero)
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 什么是除数有可能为零缺陷? 运算操作时,除法或求余数操作容易受到除数有可能为零的影响。因此,必须在操作之前检查除法运算或求余数运算中的除数不为零。 根据除法的
【悟空云课堂】第三十六期:使用过时方法(CWE-477:Use of Obsolete Function)
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 什么是使用过时方法缺陷?(CWE-477:Use of Obsolete Function) 代码使用了不推荐使用的或已经过时的方法,这表明该代码没有得到积极地
【悟空云课堂】第三十四期:空的同步块(CWE-585:Empty Synchronized Block)
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 【悟空云课堂】第三十四期:空的同步块(CWE-585:Empty Synchronized Block) 什么是空的同步块缺陷? 空的同步块实际上并不能完成任何同步,并且
代码安全_弱点(脆弱性)分析 CWE、漏洞、防御机制
目录 ■CWE ・查看方法 ・List詳細 ・CWE-117: Improper Output Neutralization for Logs ・CWE-73: External Control of File Name or Path (文件名或路径的外部控制) ・其他CWE ■漏洞 ・什么是 XSS 漏洞 ・xxx漏洞2 ■防御机制 ・什么是CSRF防御机制 ・CSRF
CWE/SANS TOP 25 2022
我整理了CWE/SANS TOP25 2022年的这25类缺陷,分类适合的开发语言,其实主要是C/C++语言的缺陷相对于Java、PHP、Python、C#等更高级的语言的不同,所以分为适合C/C++语言和其它语言。但是大家不要纠结,例如SQL难道C/C++语言程序没有吗? 答案肯定是有,但是相对出现较少,而且C、C++语言程序大家关心的更多是运行时缺陷,而不是安全漏洞,因为C/C++语言应用的场
CWE/SANS TOP 25 2022
我整理了CWE/SANS TOP25 2022年的这25类缺陷,分类适合的开发语言,其实主要是C/C++语言的缺陷相对于Java、PHP、Python、C#等更高级的语言的不同,所以分为适合C/C++语言和其它语言。但是大家不要纠结,例如SQL难道C/C++语言程序没有吗? 答案肯定是有,但是相对出现较少,而且C、C++语言程序大家关心的更多是运行时缺陷,而不是安全漏洞,因为C/C++语言应用的场
OWASP TOP 10 2021 对应的CWE缺陷(官方)
在OWASP TOP 10 2021年发布TOP 10中,比较好的给出了每类漏洞类型对应的CWE编号,这对于开发应用安全的厂商来说无疑是一件好事。 不过大家应该也可以看到,A1-A10都是给出了几种CWE,但是官方并没有给出比较全面的的对应关系,前面我的文档中有分析并给出来了,大家可以去参考。 ID 中文名称 英文名称 CWE TOP 25 A01 失效的访问控制 Broken
CWE 4.6 和 OWASP TOP10(2021)
【摘要】 新发布的CWE4.6标准,加入了OWASP 2021 TOP10的视图。OWASP TOP10将Web应用中的漏洞按照其发生率、检测能力、影响和可利用性设定了一个优先级排名,帮助组织按照漏洞的优先级,关注、理解、正确识别、减轻在应用程序中这些漏洞造成的危害。同时也为检测工具厂商对这些安全问题的检测提出了要求。 1. CWE 4.6 CWE的更新,并没有因为疫情的影响,仍然保持着每年3
OWASP TOP 10 2021 对应的CWE缺陷(官方)
在OWASP TOP 10 2021年发布TOP 10中,比较好的给出了每类漏洞类型对应的CWE编号,这对于开发应用安全的厂商来说无疑是一件好事。 不过大家应该也可以看到,A1-A10都是给出了几种CWE,但是官方并没有给出比较全面的的对应关系,前面我的文档中有分析并给出来了,大家可以去参考。 ID 中文名称 英文名称 CWE TOP 25 A01 失效的访问控制 Broken
CWE(Common Weakness Enumeration,通用缺陷枚举)
参考链接:https://cwe.mitre.org/ CWE(Common Weakness Enumeration,通用缺陷枚举)和CVE(Common Vulnerabilities & Exposures,通用漏洞和风险)都是在计算机软件安全领域中非常重要的公开数据网站。 CWE是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。它是一个完整的缺陷数据库,为组织技术堆栈的基于
CWE(Common Weakness Enumeration,通用缺陷枚举)
参考链接:https://cwe.mitre.org/ CWE(Common Weakness Enumeration,通用缺陷枚举)和CVE(Common Vulnerabilities & Exposures,通用漏洞和风险)都是在计算机软件安全领域中非常重要的公开数据网站。 CWE是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。它是一个完整的缺陷数据库,为组织技术堆栈的基于