缓冲区溢出
该软件在内存缓冲区上执行操作,但是可以从或写入到缓冲区预期边界之外的内存位置。
跨站点脚本(XSS)
该软件不会将用户控制输入放入输出之前,不会中和或错误地中和用作用于其他用户的网页的输出。
SQL注入
该软件使用来自上游组件的外部影响的输入构建SQL命令的全部或一部分,但是它不会中和或错误地中和特殊元素,这些元素可能会在将其发送到下游组件时可以修改预期的SQL命令。
目录遍历
该软件使用外部输入来构建一个旨在识别位于受限父级目录下方的文件或目录的路径名,但是该软件不能适当地中和路径名中的特殊元素,该路径名中的特殊元素可以使PATHNAME解析到该位置,该位置将其解析到该位置,该位置该位置该位置该位置不在限制目录之外。
XML外部实体(XXE)
该软件处理一个XML文档,该文档可以包含带有URI的XML实体,该文档解决了预期的控制范围之外的文档,从而导致产品将不正确的文档嵌入其输出中。
不安全的许可
该软件在安装后,为将其暴露于意外演员的对象设置了错误的权限。
不正确的访问控制
该软件不会限制或错误地限制未经授权的演员对资源的访问。
整数溢出
当逻辑假设结果值始终大于原始值时,该软件执行的计算可以产生整数溢出或环绕。当计算用于资源管理或执行控制时,这可能会引入其他弱点。
跨场地请求伪造(CSRF)
Web应用程序没有或无法充分验证提交请求的用户有意提供了形成良好,有效,一致的请求。
缺少SSL认证验证
该软件在不使用SSL_GET_VERIFY_RESULT()函数的情况下使用OPENSL和TRUSTS或使用证书,以确保证书满足所有必要的安全要求。
其他或未知
N/A。
该软件包含一个错误,除了上面,黑客可以直接使用该错误来访问系统或网络。