Category-990: SFP Secondary Cluster: Tainted Input to Command

ID: 990 Status: Incomplete

Summary

This category identifies Software Fault Patterns (SFPs) within the Tainted Input to Command cluster.

Membership

ID NAME
CWE-102 Structs:重复验证表单
CWE-103 Structs:不完整的validate()方法定义
CWE-104 Structs:表单Bean未扩展验证类
CWE-105 Structs:缺少验证的表单域
CWE-106 Structs:插件框架未在使用
CWE-107 Structs:未使用的验证表单
CWE-108 Structs:未经验证的动作表单
CWE-109 Structs:验证器关闭
CWE-110 Structs:无表单域的验证器
CWE-112 XML验证缺失
CWE-113 HTTP头部中CRLF序列转义处理不恰当(HTTP响应分割)
CWE-130 长度参数不一致性处理不恰当
CWE-134 使用外部控制的格式字符串
CWE-138 对特殊元素的转义处理不恰当
CWE-140 分隔符转义处理不恰当
CWE-141 参数分隔符转义处理不恰当
CWE-142 值分隔符转义处理不恰当
CWE-143 记录分隔符转义处理不恰当
CWE-144 行分隔符转义处理不恰当
CWE-145 节分隔符转义处理不恰当
CWE-146 表达式/命令分隔符转义处理不恰当
CWE-147 输入终结符转义处理不恰当
CWE-148 输入起始符转义处理不恰当
CWE-149 引号语法转义处理不恰当
CWE-150 转义、元或控制序列转义处理不恰当
CWE-151 注释分隔符转义处理不恰当
CWE-152 宏符号转义处理不恰当
CWE-153 替代符号转义处理不恰当
CWE-154 变量名分隔符转义处理不恰当
CWE-155 双字符或匹配符号转义处理不恰当
CWE-156 空格转义处理不恰当
CWE-157 结对分隔符的净化处理不恰当
CWE-158 空字节或NULL字符转义处理不恰当
CWE-159 特殊元素净化处理不恰当
CWE-160 起始特殊元素净化处理不恰当
CWE-161 多重起始特殊元素净化处理不恰当
CWE-162 结尾特殊元素转义处理不恰当
CWE-163 多重结尾特殊元素转义处理不恰当
CWE-164 内部特殊元素净化处理不恰当
CWE-165 多重内部特殊元素净化处理不恰当
CWE-183 宽松定义的白名单
CWE-184 不完整的黑名单
CWE-185 不正确的正则表达式
CWE-186 过度严格的正则表达式
CWE-444 HTTP请求的解释不一致性(HTTP请求私运)
CWE-553 外部可访问目录中的命令行Shell
CWE-554 ASP.NET误配置:没有使用输入验证框架
CWE-564 SQL注入:Hibernate
CWE-601 指向未可信站点的URL重定向(开放重定向)
CWE-611 XML外部实体引用的不恰当限制(XXE)
CWE-619 数据库游标悬挂(游标注入)
CWE-621 变量抽取错误
CWE-624 可执行体正则表达式错误
CWE-625 宽松定义的正则表达式
CWE-626 空字节交互错误
CWE-627 动态变量执行
CWE-641 文件和其他资源名称限制不恰当
CWE-643 XPath表达式中数据转义处理不恰当(XPath注入)
CWE-644 对HTTP头部进行脚本语法转义处理不恰当
CWE-646 依赖于外部提供文件的文件名或扩展名
CWE-652 XQuery表达式中数据转义处理不恰当(XQuery注入)
CWE-707 对消息或数据结构的处理不恰当
CWE-74 输出中的特殊元素转义处理不恰当(注入)
CWE-75 特殊命令到另一不同平面时的净化处理不恰当(特殊命令注入)
CWE-76 等价特殊元素的转义处理不恰当
CWE-77 在命令中使用的特殊元素转义处理不恰当(命令注入)
CWE-78 OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
CWE-79 在Web页面生成时对输入的转义处理不恰当(跨站脚本)
CWE-80 Web页面中脚本相关HTML标签转义处理不恰当(基本跨站脚本)
CWE-81 错误消息Web页面中脚本转义处理不恰当
CWE-82 Web页面IMG标签属性中脚本转义处理不恰当
CWE-83 Web页面属性中脚本转义处理不恰当
CWE-84 Web页面编码URIScheme转义处理不恰当
CWE-85 双字符XSS操纵
CWE-86 Web页面标识中非法字符转义处理不恰当
CWE-87 替代XSS语法转义处理不恰当
CWE-88 参数注入或修改
CWE-89 SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
CWE-90 LDAP查询中使用的特殊元素转义处理不恰当(LDAP注入)
CWE-91 XML注入(XPath盲注)
CWE-93 对CRLF序列的转义处理不恰当(CRLF注入)
CWE-95 动态执行代码中指令转义处理不恰当(Eval注入)
CWE-96 静态存储代码中指令转义处理不恰当(静态代码注入)
CWE-97 Web页面中服务端引用(SSI)转义处理不恰当
CWE-99 对资源描述符的控制不恰当(资源注入)