cwe和owasp对比分析研究软件缺陷的类别.docx

CWE与OWASP对比分析报告 …研究CWE和OWASP地关系.归纳目前为止，双方总结地软件缺陷地类别 CWE和OWASP地关系 CWE ( Com mon Weak ness Enu meration )指一般弱点列举”，它是由美国国家安 全局首先倡议地战略行动?在CWE站点上列有800多个编程、设计和架构上地错误， CWE 文档首先列举地是针对程序员最重要地 25项(Top 25 )，同时也是软件最容易受到攻击地 点，从而帮助他们编写更安全地代码 ?同时文档还适用于软件设计师、架构师、甚至 CIO， 他们应该了解这些可能出现地弱点，并采取恰当地措施 .b5E2RGbCAP OWASP ( Open Web Application Security Project )指开源 web 应用安全项目” 它是由一个开放性社区倡议地项目，致力于帮助各组织开发、购买和维护可信任地应用程 序.Top 10项目地目标是通过确定企业面临地最严重地威胁来提高人们对应用安全地关注度 使用OWASPTop 10可以让企业了解到应用安全 ?开发人员可以从其他组织地错误中学习 执行人员能开始思考如何管理企业中软件应用程序产生地风险 ? plEanqFDPw 相较之CWE与OWASP，CWE地Top 25地覆盖范围更广，包括著名地缓冲区溢出缺 陷.CWE还为程序员提供了编写更安全地代码所需要地更详细地内容 .OWASP更加关注地 是web应用程序地安全风险，这些安全风险易被攻击者利用，使得攻击者方便地对 web应 用程序进行攻击 .DXDiTa9E3d 总之，两者区别在于， CWE更加站在程序员地角度，重点关注地是软件开发过程，即 编程时地漏洞，这些漏洞最终会造成软件不安全，使得软件易被攻击 ?而OWASP更加站在 攻击者地角度，思考当今攻击者针对 web应用软件漏洞采取地最常用攻击方式，从而提高 开发者对应用安全地关注度 ?两者关注地都是软件存在地风险， 软件开发者都应该深入研究， 了解软件存在地风险及其预防、矫正 ?RTCrpUDGiT :. 总结CWE和OWASP 地软件缺陷类别 (重点归纳CWE-Top 25 和OWASP-Top 10 软 件缺陷类别 )5PCzVD7HxA 1 . CWE-Top 25 Rank Score CWE-ID [1] 34b CWE-79[2] S30 CWE-S9[3] 273 CWE-120[4] 261 CWE-352[5] 219 CWE-285202 CWE-fiO7 [1] 34b CWE-79 [2] S30 CWE-S9 [3] 273 CWE-120 [4] 261 CWE-352 [5] 219 CWE-285 202 CWE-fiO7 197 CWE-Z2 194 CWE-434 1SS CWE*7B Failure to Preserve Web Page Structure (Cross-site Scripting ) improper Sanitization of Special Elemem$ used in an SQL Commandl CSQL Injection) Buffer Copy without Checking Size qF Input ( Classic Buffer Overflow,} Cross-Site Request Forgery (CSRF) Improper Access Control iAutharizat沁in] Reliance am Untrusted Inputs in a Security Decision Improper Limiuhon of a Pathnanne to a Restricted Dirtaory ( Psth Tratfersal) Unrestricted Upload cf File with Dangercui Type Improper Sanrtizaticn cf Special tlemencs used in an OS Command「05 Command - a - -「9■ ■ B H TJ - -4 5 - a - -「9■ ■ B H TJ - - 4 5 6 7 8 9 0 1 56 CWE-129 1 55 CWE-754 154 CWE-209 154 CWE-190 15J CWE-131 147 CWE-306 2 2 2 2 2 2 I—I I——i I- r rL rL 146 CWE-494 145 CWE-732 145 CWE-770 142 CWE-601 141 CWE-327 38 OTE-362 Improper vahdaticn of Arra