Étiquettes
Parcourez et recherchez les étiquettes. Chaque page contient une explication accessible.
Cwe 20
125
CWE-20は「ユーザーから受け取ったデータが、想定された形式・範囲・型かをきちんとチェックせずに使ってしまう欠陥」のことです。
非常に広い概念で、SQLi・XSS・コマンドインジェクションなど多くの攻撃の前段階となります。
「入力は信用するな (Trust Boundaries の概念)」がセキュリティ設計の基本原則です。
CWE
Cwe 78
120
CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。
例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。
対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
CWE
Cwe 787
105
CWE-787はCWE-119の中でも特に「メモリの確保された範囲外に書き込んでしまう」欠陥です。
書き込みできるとプログラムを完全に乗っ取れる (任意コード実行) ことが多く、CVSSスコアが極めて高くなりがちです。
MITREの「危険な脆弱性Top 25」で常に上位を占めています。
CWE
Cwe 416
99
CWE-416は「メモリを解放した後にそのメモリを使ってしまう」欠陥です。
C/C++のような手動メモリ管理言語で頻発し、攻撃者はこれを利用して任意のコードを実行できることが多いです。
ブラウザのJavaScriptエンジン (V8, JavaScriptCore) でよく見つかり、ブラウザ経由のゼロデイ攻撃の典型的な原因となります。
CWE
Cwe 22
96
CWE-22は「ファイル名のパスをユーザー入力から組み立てるとき、`../` のような相対パス記号をきちんと無害化せず、本来アクセスできないファイルを読み書きされてしまう欠陥」のことです。
ファイルダウンロード機能・画像表示機能・テンプレート機能でよく見られます。
対策は「絶対パスへの正規化 + 許可されたディレクトリ内かのチェック」、または「ファイル名にIDのみを使い、パス記号を一切使わない設計」。
CWE
Cwe 119
90
CWE-119は「C/C++など低レベル言語で、配列の確保された範囲外にデータを読み書きしてしまう欠陥」のことです。
バッファオーバーフローやヒープオーバーフローと呼ばれる古典的な脆弱性で、攻撃者はこれを使って任意のコード実行を狙います。
ブラウザ・OS・ファームウェアなど低レベルなシステムで頻発します。
CWE
Cwe 94
84
CWE-94は「攻撃者が送ったデータが、プログラムコードとして解釈・実行されてしまう」欠陥です。
Pythonの `eval()`・PHPの `eval()`/`include()` にユーザー入力を渡すような実装が典型例です。
リモートコード実行 (RCE) の直接的な原因となるため、最も重大なクラスの脆弱性です。
CWE
Cwe 502
70
CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。
Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
CWE
Cwe 79
66
CWE-79は「Webアプリがユーザー入力をきちんと無害化せずに画面に出力してしまう欠陥」のことです。
結果として、攻撃者はWebページに悪意あるJavaScriptを埋め込めるようになり、見た人のCookie (ログイン情報) や入力情報を盗めるようになります。
対策はWebの基本中の基本: 出力時のHTMLエスケープです。
CWE
Cwe 89
54
CWE-89は「Webアプリがユーザー入力をきちんとパラメータ化せずにSQL文に埋め込んでしまう欠陥」のことです。
攻撃者はSQL文の構造を書き換えてデータベースを直接操作でき、全ユーザーのID/パスワードを抜く・データ改ざん・データベース全削除など何でもされます。
対策は「プリペアドステートメント (パラメータ化クエリ)」を必ず使うこと。
CWE
Cwe 918
44
Explication à venir
CWE
Cwe 284
43
Explication à venir
CWE
Cwe 287
41
Explication à venir
CWE
Cwe 77
40
Explication à venir
CWE
Cwe 306
38
Explication à venir
CWE
Cwe 843
37
Explication à venir
CWE
Cwe 200
34
Explication à venir
CWE
Cwe 122
34
Explication à venir
CWE
Cwe 125
34
Explication à venir
CWE
Cwe 264
31
Explication à venir
CWE
Cwe 74
25
Explication à venir
CWE
Cwe 863
23
Explication à venir
CWE
Cwe 190
22
Explication à venir
CWE
Cwe 434
22
Explication à venir
CWE
Cwe 693
20
Explication à venir
CWE
Cwe 269
19
Explication à venir
CWE
Cwe 288
18
Explication à venir
CWE
Cwe 862
17
Explication à venir
CWE
Cwe 399
17
Explication à venir
CWE
Cwe 121
16
Explication à venir
CWE
Cwe 59
16
Explication à venir
CWE
Cwe 362
15
Explication à venir
CWE
Cwe 476
14
Explication à venir
CWE
Cwe 120
13
Explication à venir
CWE
Cwe 400
12
Explication à venir
CWE
Cwe 401
12
Explication à venir
CWE
Cwe 611
11
Explication à venir
CWE
Cwe 404
11
Explication à venir
CWE
Cwe 367
10
Explication à venir
CWE
Cwe 798
9
Explication à venir
CWE
Cwe 23
9
Explication à venir
CWE
Cwe 88
9
Explication à venir
CWE
Cwe 415
9
Explication à venir
CWE
Cwe 770
8
Explication à venir
CWE
Cwe 138
8
Explication à venir
CWE
Cwe 1188
7
Explication à venir
CWE
Cwe 290
7
Explication à venir
CWE
Cwe 80
7
Explication à venir
CWE
Cwe 73
7
Explication à venir
CWE
Cwe 917
7
Explication à venir
CWE
Cwe 347
7
Explication à venir
CWE
Cwe 601
7
Explication à venir
CWE
Cwe 285
7
Explication à venir
CWE
Cwe 95
7
Explication à venir
CWE
Cwe 189
6
Explication à venir
CWE
Cwe 436
6
Explication à venir
CWE
Cwe 1321
6
Explication à venir
CWE
Cwe 295
6
Explication à venir
CWE
Cwe 352
6
Explication à venir
CWE
Cwe 506
6
Explication à venir
CWE