OWASP和CWE对应关系

 top 10名称英文名称CWETOP 25
A01失效的访问控制Broken Access  ControlCWE 200 : Exposure of Sensitive Information to an Unauthorized Actor(将敏感信息泄漏给未经授权的参与者)、CWE top 25
CWE-201: Exposure of Sensitive Information Through Sent Data(通过发送的数据泄漏敏感信息) 
CWE-352: Cross-Site Request Forgery (跨站请求伪造) 
A02加密机制失效Cryptographic FailuresCWE-259: Use of Hard-coded Password (使用硬编码密码) 
CWE-327: Broken or Risky Crypto Algorithm(损坏或有风险的加密算法) 
CWE-331 Insufficient Entropy (熵不足) 
A03注入InjectionCWE-79: Cross-site Scripting(跨站点脚本)CWE top 25
CWE-89:SQL Injection(SQL注入)CWE top 25
CWE-73:External Control of File Name or Path(文件名或路径的外部控制) 
A04不安全设计Insecure DesignCWE209:Generation of Error Message Containing Sensitive Information(生成包含敏感信息的错误消息) 
CWE-256:Unprotected Storage of Credentials(凭证的未保护存储) 
CWE-501:Trust Boundary Violation(信任边界冲突) 
CWE-522:Insufficiently Protected Credentials(凭证保护不足)CWE top 25
A05安全配置错误Security MisconfigureationCWE-16 Configuration(配置) 
CWE-611Improper Restriction of XML External Entity Reference(XML 外部实体引用的不当限制)CWE top 25
A06自带缺陷和过时的组件Vulnerable and Outdated ComponentsCWE-1104 Use of Unmaintained Third-Party
Components(使用未维护第三方组件)
 
2013年 
2017年 
A07身份识别和身份验证错误Identification and Authentication FailuresCWE-297: Improper Validation of Certificate with Host Mismatch(与不匹配
的服务端进行不适当的凭证确认)
 
CWE-287: Improper Authentication(不适当的认证)CWE top 25
CWE-384: Session Fixation(会话固定攻击) 
A08软件和数据完整性故障Software and Data Integrity FailuresCWE-829:Inclusion of Functionality from Untrusted Control Sphere(包含来自不受信任控制领域的功能) 
CWE-494:Download of Code Without Integrity Check(不进行完整性检查的代码下载) 
CWE-502:Deserialization of Untrusted Data(不可信数据的反序列化)CWE top 25
A09安全日志和监控故障Security Logging and Monitoring FailuresCWE-117 Improper Output Neutralization for Logs(日志输出不当) 
CWE-223 Omission of Security-relevant Information(安全事件信息漏报) 
CWE-532 Insertion of Sensitive Information into Log File(在日志文件中包含敏感信息) 
A10服务器请求伪造Server-Side Request ForgeryCWE-918 Server-Side Request Forgery( SSRF) 服务端请求伪造CWE top 25

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

manok

你的打赏很重要

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值