OWASP和CWE对应关系

最新推荐文章于 2025-05-18 17:45:13 发布
最新推荐文章于 2025-05-18 17:45:13 发布
阅读量522 收藏 4
点赞数 4
CC 4.0 BY-SA版权
分类专栏: SAST检测规则专栏 代码安全 供应链安全 文章标签: 供应链安全 SAST 静态分析 静态应用安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/manok/article/details/144489563
 top 10名称英文名称CWETOP 25
A01失效的访问控制Broken Access  ControlCWE 200 : Exposure of Sensitive Information to an Unauthorized Actor(将敏感信息泄漏给未经授权的参与者)、CWE top 25
CWE-201: Exposure of Sensitive Information Through Sent Data(通过发送的数据泄漏敏感信息) 
CWE-352: Cross-Site Request Forgery (跨站请求伪造) 
A02加密机制失效Cryptographic FailuresCWE-259: Use of Hard-coded Password (使用硬编码密码) 
CWE-327: Broken or Risky Crypto Algorithm(损坏或有风险的加密算法) 
CWE-331 Insufficient Entropy (熵不足) 
A03注入InjectionCWE-79: Cross-site Scripting(跨站点脚本)CWE top 25
CWE-89:SQL Injection(SQL注入)CWE top 25
CWE-73:External Control of File Name or Path(文件名或路径的外部控制) 
A04不安全设计Insecure DesignCWE209:Generation of Error Message Containing Sensitive Information(生成包含敏感信息的错误消息) 
CWE-256:Unprotected Storage of Credentials(凭证的未保护存储) 
CWE-501:Trust Boundary Violation(信任边界冲突) 
CWE-522:Insufficiently Protected Credentials(凭证保护不足)CWE top 25
A05安全配置错误Security MisconfigureationCWE-16 Configuration(配置) 
CWE-611Improper Restriction of XML External Entity Reference(XML 外部实体引用的不当限制)CWE top 25
A06自带缺陷和过时的组件Vulnerable and Outdated ComponentsCWE-1104 Use of Unmaintained Third-Party
Components(使用未维护第三方组件)		 
2013年 
2017年 
A07身份识别和身份验证错误Identification and Authentication FailuresCWE-297: Improper Validation of Certificate with Host Mismatch(与不匹配
的服务端进行不适当的凭证确认)		 
CWE-287: Improper Authentication(不适当的认证)CWE top 25
CWE-384: Session Fixation(会话固定攻击) 
A08软件和数据完整性故障Software and Data Integrity FailuresCWE-829:Inclusion of Functionality from Untrusted Control Sphere(包含来自不受信任控制领域的功能) 
CWE-494:Download of Code Without Integrity Check(不进行完整性检查的代码下载) 
CWE-502:Deserialization of Untrusted Data(不可信数据的反序列化)CWE top 25
A09安全日志和监控故障Security Logging and Monitoring FailuresCWE-117 Improper Output Neutralization for Logs(日志输出不当) 
CWE-223 Omission of Security-relevant Information(安全事件信息漏报) 
CWE-532 Insertion of Sensitive Information into Log File(在日志文件中包含敏感信息) 
A10服务器请求伪造Server-Side Request ForgeryCWE-918 Server-Side Request Forgery( SSRF) 服务端请求伪造CWE top 25

OWASP TOP10 2021总结
m0_52663093的博客
03-14 9327
OWASP(Open Web Application Security Project)是一个开源的、非盈利的全球性安全组织。是指web应用程序安全风险。2021年web漏洞较以往有一些变化。 2021top 10总结如下: A01:2021-Broken Access Control 访问控制失效 A01:访问控制失效(Broken Access Control)从第五位上升到了第一位。94%的应用程序都经过了某种形式的访问控制失效测试。提供的数据表明,超过94%的app都经历过某种形式的越权访问控
2024年最新OWASP Top 10 网络安全10大漏洞——A01:2024-访问控制中断(3),网络安全快速转战Kotlin教程
2401_84253850的博客
05-06 1143
访问控制是指控制对信息或功能的访问权限的系统。损坏的访问控制使攻击者可以绕过授权并执行任务,就像他们是管理员等特权用户一样。例如,Web 应用程序可能允许用户仅通过更改 url 的一部分即可更改他们登录的帐户,而无需任何其他验证。
OWASP TOP 10(2021)
m0_51553670的博客
06-03 1899
OWASP:全称Open Web Application Security Project(开放式Web应用程序安全项目):OWASP公司公布的10种最严重、最常见的web应用漏洞官网链接。
2021 OWASP TOP 10
gtdisscary的博客
05-15 578
2021 OWASP TOP 10 欢迎参阅最新一期OWASP Top 10! 2021年版OWASP Top 10的编制比以往更受数据驱动,但又并非盲目地受数据驱动。我们从公开收集的数据中选定了8个类别,又从Top 10社区调查结果中选择了2个高级别的类别,组成了10个类别。我们这样做是为了一个根本原因,通过查看收集到的数据来回顾过去。因为应用安全研究人员寻找新的漏洞测试它们的新方法需要时间,将这些测试集成到工具流程中也需要时间。当我们能够可靠地大规模测试弱点时,可能已经过去了很长时间。为了平衡这种观
OWASP TOP 10 ( 2021 ) 的详细介绍
LizimU_0911的博客
12-08 1505
Top1-失效的访问控制 1. 失效的访问控制的介绍 从第五位上升称为Web应用程序安全风险最严重的类别,常见的CWE包括:将敏感信息泄露给未经授权的参与者、通过发送的数据泄露敏感信息、跨站请求伪造(csrf)。 2. 失效的访问控制的攻击原理 访问强制实施策略,使用户无法在其预期权限之外操作。失败的访问控制通常导致未经授权的信息泄露,修改或者销毁所有数据,或在用户权限之外执行业务功能。 3. 失效的访问控制的解决方法 开发人员QA人员应
OWASP-TOP10-2021中文版V1.0
01-28
该项目提供了详细的参考文献 CWE(Common Weakness Enumeration),为开发者安全专家提供了有用的资源,以帮助他们更好地理解应对这些安全风险。 关于 OWASP OWASP 是一个非营利的组织,旨在提高 Web 应用...
OWASP-TOP10-2021中文版V1.0发布
01-22
OWASP-TOP10-2021中文版V1.0发布 ...OWASP Top 10提供了许多相关的资料文献,包括参考文献、对应CWE、数据要素汇总表等。这些资源可以帮助开发者安全专业人士更好地了解防止常见的网络应用安全风险。
CWE
03-08
另外,用户可能想知道CWE其他标准如CVE的关系。需要解释CVE是具体漏洞的编号,而CWE是漏洞类型的分类,两者互补。比如,一个CVE条目可能会引用对应CWE编号来说明漏洞类型。 还要提到CWE的应用场景,比如在安全...
OWASP-TOP10-2021 最新中文版V1.0.pdf
12-26
OWASP-TOP10-2021中文版V1.0.pdf
OWASP TOP 10 2021
qq_44430237的博客
04-03 399
攻击者可以利用这些漏洞或错误来篡改应用程序中的数据或代码,从而破坏应用程序及数据的完整性。失效的访问控制是指应用程序中的访问控制措施没有被正确实施或没有被充分考虑,从而导致攻击者能够绕过访问控制措施,访问未授权的资源执行未授权的操作。注入漏洞是指攻击者可以通过注入恶意代码或指令来攻击应用程序的漏洞。危险过时的组件常是由于使用具有已知安全漏洞的第三方组件或库而导致的,攻击者可以利用这些漏洞来攻击应用程序。安全配置错误通常是由于不正确的配置或管理而导致的,攻击者可以利用这些漏洞来攻击应用程序。
OWASP TOP 10 2021版
最新发布
2401_83964264的博客
05-18 478
攻击者可能利用此漏洞,冒充其他用户或角色,越权访问敏感功能或数据,如未经授权创建、读取、更新或删除记录。在加密过程中存在错误,如密钥管理薄弱、数据传输不安全或选用不安全的加密算法,这可能导致敏感信息泄露,使系统易受攻击。由于日志记录监控不充分,安全事件难以被及时检测,攻击者可更隐蔽地进行恶意活动,影响对安全事件的响应调查。在应用程序设计阶段,因缺乏威胁建模、未遵循安全设计模式与原则等,导致存在安全缺陷,可能引发长期安全风险。A06:2021 - 易受攻击过时的组件。
2021的OWASP TOP 10
2301_79096184的博客
09-20 1812
OWASP(开放Web应用安全项目)是一个非营利性组织,旨在提高软件安全性。每四年一个更新,2025年就会再次更新,到时候这篇文章也会实时更新。我主要从定义,场景,原因,影响,防护措施进行介绍。
2021 owasp top10
Fiverya的博客
09-11 2196
OWASP Top 10 是“Web应用程序十大安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。 0x02 2021年前十名变化 今年的榜单有三个新类别,相比2017版四个类别的命名范围发生了变化,并在 2021 年榜单中进行了一些类别合并。 A01:2021-Broken Access Control从第五位上升;94% 的应用程序都经过了某种形式的破坏访问控制的测试。映射到 Broken Access Control
OWASP Top 10】2021版
weixin_49422491的博客
10-07 2475
本质上来说,OWASP Top 10主要是一个意识文件。然而,这并没有阻止组织自其2003年发布以来将其用作实际上的行业AppSec标准。如果您想使用OWASP Top 10作为编码或测试标准,请记住它是底线,是起点!OWASP Top 10榜单的目的是推动安全行业了解数据贡献公司所面临的漏洞漏洞利用趋势,以更好地迎接应对挑战。目前,OWASP Top 10仍处于初版阶段,还将随着安全行业不断审查其内容而发展完善。
OWASP TOP10 2021版
诚邀网络通信领域商务合作
03-06 1059
文章目录版本变化名词说明A01:2021-失效的访问控制 Broken Access ControlA02:2021-加密机制失效 Cryptographic FailuresA03:2021-注入 InjectionA04:2021-不安全设计 Insecure DesignA05:2021-安全配置错误 Security MisconfigurationA06:2021-自带缺陷过时的组件 Vulnerable and Outdated ComponentsA07:2021-身份识别身份验证错误..
2021年 owasp top 10
qq_51577576的博客
11-19 1825
OWASP Top 10 2021 - Broken Access Control Jumps to the Top Spot 目录 A01:失效的访问控制 什么是越权漏洞: 原因: 分类: 修复防御方案 A02: 加密失败 如何预防 A03:注入 如何预防 A04:不安全的设计 如何预防 A05:安全配置错误 防御 A06:易受攻击过时的组件 防御 A07:认证授权失败 防御 A08:软件数据完整性故障 如何预防 A09:安全日志记录监控失败 ...
OWASP Top 10 2021简介
kudos123的博客
09-10 1002
https://owasp.org/Top10/#category-relationships-from-2017 欢迎来到 OWASP Top 10 的最新一期!OWASP Top 10 2021 是全新的,具有新的图形设计可用的一页信息图,您可以打印或从我们的主页获取。 非常感谢为本次迭代贡献时间数据的所有人。没有你,这一期就不会发生。谢谢。 2021 年前 10 名发生了什么变化 有三个新类别,四个类别的命名范围发生了变化,并在 2021 年的前 10 名中进行了一些合并。 2017 年 .
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

manok

你的打赏很重要

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值