View-660: Weaknesses in Software Written in Java

ID: 660

Type: Implicit

Status: Draft

Objective

This view (slice) covers issues that are found in Java programs that are not common to all languages.

Membership

CWE-ID title
CWE-95 动态执行代码中指令转义处理不恰当(Eval注入)
CWE-102 Structs:重复验证表单
CWE-104 Structs:表单Bean未扩展验证类
CWE-105 Structs:缺少验证的表单域
CWE-107 Structs:未使用的验证表单
CWE-109 Structs:验证器关闭
CWE-191 整数下溢(超界折返)
CWE-197 数值截断错误
CWE-245 J2EE不安全实践:对连接的直接管理
CWE-103 Structs:不完整的validate()方法定义
CWE-106 Structs:插件框架未在使用
CWE-108 Structs:未经验证的动作表单
CWE-110 Structs:无表单域的验证器
CWE-111 对不安全JNI的直接使用
CWE-362 使用共享资源的并发执行不恰当同步问题(竞争条件)
CWE-366 单线程内的竞争条件
CWE-374 传递不可变的对象给非可信方法
CWE-382 J2EE不安全实践:使用System.exit()
CWE-396 对通用异常声明Catch语句
CWE-462 在关联列表中具有重复Key
CWE-470 使用外部可控制的输入来选择类或代码(不安全的反射)
CWE-476 空指针解引用
CWE-478 在Switch语句中缺失缺省条件
CWE-192 整数强制转换错误
CWE-481 错误将比较符号写成赋值符号
CWE-486 使用名称来比较对象
CWE-492 使用包含敏感数据的内部对象
CWE-496 公开数据赋值给私有的数组类型数据域
CWE-498 包含敏感信息的可克隆类
CWE-5 J2EE误配置:未经加密的数据传输
CWE-500 公开静态字段没有标记为Final
CWE-502 可信数据的反序列化
CWE-246 J2EE不安全实践:对套接字的直接使用
CWE-248 未捕获的异常
CWE-543 在多线程上下文中使用缺失同步机制的Singleton设计模式
CWE-567 在多现场上下文中未能对共享数据进行同步访问
CWE-575 EJB不安全实践:使用AWT Swing
CWE-577 EJB不安全实践:使用套接字
CWE-579 J2EE不安全实践:将不可序列化的对象存储在会话中
CWE-580 未定义super.clone()的clone()方法
CWE-582 公开、最终、静态声明的数组
CWE-586 对Finalize()的显式调用
CWE-595 错误对对象引用当作对象内容进行比较
CWE-607 公开静态最终域索引互斥的对象
CWE-609 双重检查的加锁机制
CWE-365 Switch语句中的竞争条件
CWE-375 返回不可变的对象给非可信调用者
CWE-383 J2EE不安全实践:直接使用线程
CWE-395 使用NullPointerException捕捉来检测空指针解引用
CWE-397 对通用异常声明Throws语句
CWE-766 关键变量被公开声明
CWE-460 抛出异常的清理不恰当
CWE-484 在Switch语句中省略Break语句
CWE-487 依赖包一级的范围
CWE-491 公开的可克隆方法(对象劫持)
CWE-493 缺少Final Modifier的关键公开变量
CWE-495 从公开方法中返回私有的数组类型数据域
CWE-499 可序列化的类中包含敏感信息
CWE-537 通过Java运行时错误消息导致的信息暴露
CWE-568 没有super.finalize()的finalize()方法
CWE-917 表达式语言语句中使用的特殊元素转义处理不恰当(表达式语言注入)
CWE-572 调用线程的run()方法而非start()方法
CWE-574 EJB不安全实践:使用同步原语
CWE-576 EJB不安全实践:使用Java I/O
CWE-578 EJB不安全实践:使用类加载器
CWE-581 对象模型违背:仅定义了一个等式与散列码
CWE-583 公开声明的finalize()方法
CWE-585 空的同步代码块
CWE-594 J2EE框架:将不可序列化的对象存储到磁盘上
CWE-6 J2EE误配置:会话ID长度不充分
CWE-608 Structs:动作表单类中存在非私有域
CWE-7 J2EE误配置:缺少定制错误页面
CWE-767 通过公开方法可访问到关键的私有数据

Filter

/Weakness_Catalog/Weaknesses/Weakness[./Applicable_Platforms/Language/@Name='Java']