CWE/SANS TOP 25 2022
我整理了CWE/SANS TOP25 2022年的这25类缺陷,分类适合的开发语言,其实主要是C/C++语言的缺陷相对于Java、PHP、Python、C#等更高级的语言的不同,所以分为适合C/C++语言和其它语言。但是大家不要纠结,例如SQL难道C/C++语言程序没有吗? 答案肯定是有,但是相对出现较少,而且C、C++语言程序大家关心的更多是运行时缺陷,而不是安全漏洞,因为C/C++语言应用的场景大多是在嵌入式环境下,驱动硬件设备等,物理隔绝的情况比较多,更多关心的程序本身的是否导致异常,而不是被外界攻击。
| CWE编号 | 名称 | 适合语言(1是C、2是所有语言) |
| CWE-787 | 越界写入(Out-of-bounds Writes) | 1 |
| CWE-79 | 跨站脚本(Cross-site Scripting) | 2 |
| CWE-125 | 越界读取(Out-of-bounds Read) | 1 |
| CWE-20 | 不正确的输入验证(Improper Input Validation) | 2 |
| CWE-78 | OS命令注入('OS Command Injection') | 1、2 |
| CWE-89 | SQL注入('SQL Injection') | 2 |
| CWE-416 | 使用已释放的内存(Use After Free) | 1 |
| CWE-22 | 路径遍历('Path Traversal') | 2 |
| CWE-352 | 跨站请求伪造(CSRF)(Cross-Site Request Forgery) | 2 |
| CWE-434 | 不受限制上传危险类型文件(Unrestricted Upload of File with Dangerous Type) | 2 |
| CWE-306 | 关键功能认证机制缺失(Missing Authentication for Critical Function) | 2 |
| CWE-190 | 整数溢出或环绕(Integer Overflow or Wraparound) | 1 |
| CWE-502 | 不可信数据反序列化(Deserialization of Untrusted Data) | 2 |
| CWE-287 | 不正确的认证(Improper Authentication) | 2 |
| CWE-476 | 空指针解引用(NULL Pointer Dereference) | 1、2 |
| CWE-798 | 使用硬编码凭证(Use of Hard-coded Credentials) | 1、2 |
| CWE-119 | 对内存缓冲区内的操作限制不当(Improper Restriction of Operations within the Bounds of a Memory Buffer) | 1 |
| CWE-862 | 授权机制缺失(Missing Authorization) | 2 |
| CWE-276 | 默认权限不正确(Incorrect Default Permissions) | 2 |
| CWE-200 | 信息暴露给未授权行为者(Exposure of Sensitive Information to an Unauthorized Actor) | 2 |
| CWE-522 | 凭证保护不足(Insufficiently Protected Credentials) | 2 |
| CWE-732 | 关键资源的权限分配错误(Incorrect Permission Assignment for Critical Resource) | 2 |
| CWE-611 | XML外部实体引用限制不当(XXE)(Improper Restriction of XML External Entity Reference) | 2 |
| CWE-918 | 服务端请求伪造(SSRF)(Server-Side Request Forgery ) | 2 |
| CWE-77 | 命令行注入('Command Injection') | 2 |
(结束)
相关文章:
CWE/SANS TOP 25 2022
我整理了CWE/SANS TOP25 2022年的这25类缺陷,分类适合的开发语言,其实主要是C/C语言的缺陷相对于Java、PHP、Python、C#等更高级的语言的不同,所以分为适合C/C语言和其它语言。但是大家不要纠结,例如SQL难道C/C语言程序没有吗&…...
Qt 天气预报项目
参考引用 QT开发专题-天气预报 1. JSON 数据格式 1.1 什么是 JSON JSON (JavaScript Object Notation),中文名 JS 对象表示法,因为它和 JS 中对象的写法很类似 通常说的 JSON,其实就是 JSON 字符串,本质上是一种特殊格式的字符串…...
新知识-Tuple元组的使用
文章目录 前言一、tuple元组是什么?二、解决方法总结 前言 这次碰到一个需求,大致需要把表A中的字段1和字段2作为共同的表去查表B,并且一次性需要查多条,一开始是想的是根据字段1和字段2去查然后循环多次,但是这样反复…...
“此应用专为旧版android打造,因此可能无法运行”,问题解决方案
当用户在Android P系统上打开某些应用程序时,可能会弹出一个对话框,提示内容为:“此应用专为旧版Android打造,可能无法正常运行。请尝试检查更新或与开发者联系”。 随着Android平台的发展,每个新版本通常都会引入新的…...
【Leetcode题单】(01 数组篇)刷题关键点总结03【数组的改变、移动】
【Leetcode题单】(01 数组篇)刷题关键点总结03【数组的改变、移动】(3题) 数组的改变、移动453. 最小操作次数使数组元素相等 Medium665. 非递减数列 Medium283. 移动零 Easy 大家好,这里是新开的LeetCode刷题系列&…...
Lag-Llama:基于 LlaMa 的单变量时序预测基础模型
文章构建了一个通用单变量概率时间预测模型 Lag-Llama,在来自Monash Time Series库中的大量时序数据上进行了训练,并表现出良好的零样本预测能力。在介绍Lag-Llama之前,这里简单说明什么是概率时间预测模型。概率预测问题是指基于历史窗口内的…...
 深度选择器不生效)
vue3 :deep() 深度选择器不生效
vue3 :deep() 深度选择器不生效 问题出在根节点上,如果没有这个根节点,那么:deep()不起作用,我把根节点加上,:deep()样式就生效了。在组件外加个 就生效了 参考: 添加链接描述...
从零构建属于自己的GPT系列1:数据预处理(文本数据预处理、文本数据tokenizer、逐行代码解读)
🚩🚩🚩Hugging Face 实战系列 总目录 有任何问题欢迎在下面留言 本篇文章的代码运行界面均在PyCharm中进行 本篇文章配套的代码资源已经上传 从零构建属于自己的GPT系列1:文本数据预处理 从零构建属于自己的GPT系列2:语…...
c++中函数的引用
函数中的引用 引用可以作为函数的形参 不能返回局部变量的引用 #include<iostream> #include<stdlib.h> using namespace std; //形参是引用 void swap(int *x, int *y)//*x *y表示对x y取地址 { int tmp *x; *x *y; *y tmp; } void test01() { …...
IDA常用操作、快捷键总结以及使用技巧
先贴一张官方的图,然后我再总结一下,用的频率比较高的会做一些简单标注 快捷键 F系列【主要是调试状态的处理】 F2 添加/删除断点F4 运行到光标所在位置F5 反汇编F7 单步步入F8 单步跳过F9 持续运行直到输入/断点/结束 shift系列【主要是调出对应的页…...
Kibana使用指南
使用介绍主要特点应用场景数据可视化还有哪些类型安装步骤安装配置参数Elasticsearch配置参数注意事项 使用介绍 Kibana是一个开源的分析与可视化平台,设计出来用于和Elasticsearch一起使用的。可以用Kibana搜索、查看、交互存放在Elasticsearch索引里的数据&#…...
wvp如果确认音频udp端口开放成功
用到工具 在服务器上开启端口监听 选中udp server,点击创建按钮 设置服务器监听端口 在客户端连接服务器端口 选中udp客户端,点击创建 输入服务器地址 远程端口和本地端口,本地端口只要没被占用都可以使用 ,点击确认 发送数据 …...
C#文件夹基本操作(判断文件夹是否存在、创建文件夹、移动文件夹、删除文件夹以及遍历文件夹中的文件)
目录 一、判断文件夹是否存在 1.Directory类的Exists()方法 2. DirectoryInfo类的Exists属性 二、创建文件夹 1. Directory类的CreateDirectory()方法 2.DirectoryInfo类的Create()方法 三、移动文件夹 1. Directory类的Move()方法 2.DirectoryInfo类的MoveT…...
python 交互模式和命令行模式的问题
python 模式的冲突 unexpected character after line continuation character 理论上 ide里,输入 python 文件路径\文件.py 就可以执行 但是有时候却报错 unexpected character after line continuation character 出现上述错误的原因是没有退出解释器&#x…...
计算机网络——数据链路层
目录 一、数据链路层的基本概念 (一)数据链路层的概念 (二)帧 (三)数据链路层分为哪两个部分 (1)LLC(逻辑控制访问) (2)MAC&…...
【限时免费】20天拿下华为OD笔试之【哈希集合】2023B-明明的随机数【欧弟算法】全网注释最详细分类最全的华为OD真题题解
文章目录 题目描述与示例题目描述输入描述输出描述:示例 1输入输出说明 解题思路代码PythonJavaC时空复杂度 华为OD算法/大厂面试高频题算法练习冲刺训练 题目描述与示例 题目描述 明明生成了N 个 1 至 500 之间的随机整数。请你删去其中重复的数字,即…...
:视频帧处理并用SDL渲染播放)
播放器开发(五):视频帧处理并用SDL渲染播放
目录 学习课题:逐步构建开发播放器【QT5 FFmpeg6 SDL2】 步骤 VideoOutPut模块 1、初始化【分配缓存、读取信息】 2、开始线程工作【从队列读帧->缩放->发送渲染信号到窗口】 VideoWidget自定义Widget类 1、定义内部变量 2、如果使用SDL,需要进…...
Spring MVC数据绑定的几种方法(一)
这篇文章包含spring mvc的默认数据类型绑定和简单数据类型绑定。内容来自实验。 准备: (1)在IDEA环境中从archetye创建webapp类型的maven项目exp6。 (2)在src\main目录下创建并标注java源代码文件夹和resources资源文…...
)
CSP-坐标变换(其二)
问题描述 对于平面直角坐标系上的坐标 (x,y),小 P 定义了如下两种操作: 拉伸 k 倍:横坐标 x 变为 kx,纵坐标 y 变为 ky; 旋转 θ:将坐标 (x,y) 绕坐标原点 (0,0) 逆时针旋转 θ 弧度(0≤θ<…...
docker 安装jekins
echo Asia/Shanghai >/etc/timezone,容器中操作报错:docker容器中 Permission denied 使用该-u选项时,可以使用root用户(ID 0),而不是用默认用户登录docker容器 docker exec -u 0 -it f8a2b3d91455 /bin/bash 或者ÿ…...
questasim下载安装
questasim下载安装 https://zhuanlan.zhihu.com/p/682726018...
从手机解锁合法化看DMCA、消费者权利与设备所有权的博弈
1. 从“越狱”到合法化:一场关于设备所有权的消费者权利运动2013年初,如果你在美国买了一部合约机,然后想把它带到另一家运营商使用,你面临的不仅仅是不兼容的技术问题,还可能是一项重罪——最高五年的监禁和五十万美元…...
Syzygy-of-Thoughts:用代数几何思想提升大语言模型推理能力
1. 项目概述:当大语言模型遇上代数几何如果你最近在折腾大语言模型(LLM)的推理能力提升,大概率听说过“思维链”(Chain of Thought, CoT)和“自洽性”(Self-Consistency, CoT-SC)这些…...
终极指南:如何永久免费使用Cursor Pro AI编程神器
终极指南:如何永久免费使用Cursor Pro AI编程神器 【免费下载链接】cursor-free-vip [Support 0.45](Multi Language 多语言)自动注册 Cursor Ai ,自动重置机器ID , 免费升级使用Pro 功能: Youve reached your trial r…...
5大智能引擎:揭秘Illustrator批量替换脚本的自动化革命
5大智能引擎:揭秘Illustrator批量替换脚本的自动化革命 【免费下载链接】illustrator-scripts Adobe Illustrator scripts 项目地址: https://gitcode.com/gh_mirrors/il/illustrator-scripts replaceItems.jsx是Adobe Illustrator脚本库中的专业级批量替换工…...
Windows on ARM:从技术预言到生态重塑的十年架构演进
1. 项目概述:一次重塑计算格局的“联姻”2010年,当业界还在消化Windows 7带来的变化时,一则关于“Windows 8将支持ARM架构”的传闻,在半导体和操作系统领域投下了一颗重磅炸弹。这不仅仅是关于一个新操作系统的功能更新࿰…...
从锡疫到无铅焊料失效:材料环境可靠性设计实战解析
1. 从拿破仑的纽扣说起:材料失效背后的工程警示在电子工程领域,我们每天都在与材料打交道。从PCB上的焊点,到芯片内部的金属互连,再到外壳的塑料,材料的可靠性直接决定了产品的成败。几年前,当整个行业因Ro…...
3分钟掌握RPG Maker资源解密:纯前端工具轻松破解加密文件
3分钟掌握RPG Maker资源解密:纯前端工具轻松破解加密文件 【免费下载链接】RPG-Maker-MV-Decrypter You can decrypt RPG-Maker-MV Resource Files with this project ~ If you dont wanna download it, you can use the Script on my HP: 项目地址: https://gitc…...
面壁智能开源端侧多模态大模型MiniCPM-V 4.6,性能登顶同尺寸榜首,降低开发门槛
【导语:5月13日,面壁智能联合清华大学与OpenBMB开源社区,发布并开源新一代端侧多模态大模型MiniCPM-V 4.6。该模型以轻量级参数实现性能与效率突破,在评测中超越竞品,还降低了运行内存需求和计算成本,支持多…...
Flow区块链开发:用AI规则库提升Cadence智能合约与FCL前端开发效率
1. 项目概述与核心价值 如果你正在Flow区块链上用Cadence语言开发智能合约,并且恰好也在用Cursor这样的AI辅助编程工具,那你可能和我一样,经历过一个有点“分裂”的阶段。一方面,Cadence作为一门资源导向型语言,其独特…...