🧬 CWE

slug: cwe

所属タグ (185)

タグ	解説	脆弱性件数
CWE-20: 入力検証の不備	CWE-20は「ユーザーから受け取ったデータが、想定された形式・範囲・型かをきちんとチェックせずに使ってしまう欠陥」のことです。非常に広い概念で、SQLi・XSS・コマンドインジェクションなど多くの攻撃の前段階となります。「入力は信用するな (Trust Boundaries の概念)」がセキュリティ設計の基本原則です。	125
CWE-78: OSコマンドインジェクション	CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。	120
CWE-787: 境界外書き込み	CWE-787はCWE-119の中でも特に「メモリの確保された範囲外に書き込んでしまう」欠陥です。書き込みできるとプログラムを完全に乗っ取れる (任意コード実行) ことが多く、CVSSスコアが極めて高くなりがちです。 MITREの「危険な脆弱性Top 25」で常に上位を占めています。	105
CWE-416: 解放後使用 (Use-After-Free)	CWE-416は「メモリを解放した後にそのメモリを使ってしまう」欠陥です。 C/C++のような手動メモリ管理言語で頻発し、攻撃者はこれを利用して任意のコードを実行できることが多いです。ブラウザのJavaScriptエンジン (V8, JavaScriptCore) でよく見つかり、ブラウザ経由のゼロデイ攻撃の典型的な原因となります。	99
CWE-22: パストラバーサル	CWE-22は「ファイル名のパスをユーザー入力から組み立てるとき、`../` のような相対パス記号をきちんと無害化せず、本来アクセスできないファイルを読み書きされてしまう欠陥」のことです。ファイルダウンロード機能・画像表示機能・テンプレート機能でよく見られます。対策は「絶対パスへの正規化 + 許可されたディレクトリ内かのチェック」、または「ファイル名にIDのみを使い、パス記号を一切使わない設計」。	96
CWE-119: メモリの境界外操作	CWE-119は「C/C++など低レベル言語で、配列の確保された範囲外にデータを読み書きしてしまう欠陥」のことです。バッファオーバーフローやヒープオーバーフローと呼ばれる古典的な脆弱性で、攻撃者はこれを使って任意のコード実行を狙います。ブラウザ・OS・ファームウェアなど低レベルなシステムで頻発します。	90
CWE-94: コードインジェクション	CWE-94は「攻撃者が送ったデータが、プログラムコードとして解釈・実行されてしまう」欠陥です。 Pythonの `eval()`・PHPの `eval()`/`include()` にユーザー入力を渡すような実装が典型例です。リモートコード実行 (RCE) の直接的な原因となるため、最も重大なクラスの脆弱性です。	84
CWE-502: 安全でないデシリアライゼーション	CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。	70
CWE-79: クロスサイトスクリプティング (XSS)	CWE-79は「Webアプリがユーザー入力をきちんと無害化せずに画面に出力してしまう欠陥」のことです。結果として、攻撃者はWebページに悪意あるJavaScriptを埋め込めるようになり、見た人のCookie (ログイン情報) や入力情報を盗めるようになります。対策はWebの基本中の基本: 出力時のHTMLエスケープです。	66
CWE-89: SQLインジェクション	CWE-89は「Webアプリがユーザー入力をきちんとパラメータ化せずにSQL文に埋め込んでしまう欠陥」のことです。攻撃者はSQL文の構造を書き換えてデータベースを直接操作でき、全ユーザーのID/パスワードを抜く・データ改ざん・データベース全削除など何でもされます。対策は「プリペアドステートメント (パラメータ化クエリ)」を必ず使うこと。	54
Cwe 918	タグ解説は準備中です	44
Cwe 284	タグ解説は準備中です	43
Cwe 287	タグ解説は準備中です	41
Cwe 77	タグ解説は準備中です	40
Cwe 306	タグ解説は準備中です	38
Cwe 843	タグ解説は準備中です	37
Cwe 122	タグ解説は準備中です	34
Cwe 125	タグ解説は準備中です	34
Cwe 200	タグ解説は準備中です	34
Cwe 264	タグ解説は準備中です	31
Cwe 74	タグ解説は準備中です	25
Cwe 863	タグ解説は準備中です	23
Cwe 190	タグ解説は準備中です	22
Cwe 434	タグ解説は準備中です	22
Cwe 693	タグ解説は準備中です	20
Cwe 269	タグ解説は準備中です	19
Cwe 288	タグ解説は準備中です	18
Cwe 399	タグ解説は準備中です	17
Cwe 862	タグ解説は準備中です	17
Cwe 121	タグ解説は準備中です	16
Cwe 59	タグ解説は準備中です	16
Cwe 362	タグ解説は準備中です	15
Cwe 476	タグ解説は準備中です	14
Cwe 120	タグ解説は準備中です	13
Cwe 400	タグ解説は準備中です	12
Cwe 401	タグ解説は準備中です	12
Cwe 404	タグ解説は準備中です	11
Cwe 611	タグ解説は準備中です	11
Cwe 367	タグ解説は準備中です	10
Cwe 23	タグ解説は準備中です	9
Cwe 415	タグ解説は準備中です	9
Cwe 798	タグ解説は準備中です	9
Cwe 88	タグ解説は準備中です	9
Cwe 138	タグ解説は準備中です	8
Cwe 770	タグ解説は準備中です	8
Cwe 1188	タグ解説は準備中です	7
Cwe 285	タグ解説は準備中です	7
Cwe 290	タグ解説は準備中です	7
Cwe 347	タグ解説は準備中です	7
Cwe 601	タグ解説は準備中です	7
Cwe 73	タグ解説は準備中です	7
Cwe 80	タグ解説は準備中です	7
Cwe 917	タグ解説は準備中です	7
Cwe 95	タグ解説は準備中です	7
Cwe 1321	タグ解説は準備中です	6
Cwe 189	タグ解説は準備中です	6
Cwe 295	タグ解説は準備中です	6
Cwe 352	タグ解説は準備中です	6
Cwe 436	タグ解説は準備中です	6
Cwe 506	タグ解説は準備中です	6

所属タグ (185)

🍪 Cookie について