タグ一覧
脆弱性に紐づくタグを検索・閲覧。各タグページに初心者向け解説があります。
Cwe 20
125
CWE-20: 入力検証の不備
CWE-20は「ユーザーから受け取ったデータが、想定された形式・範囲・型かをきちんとチェックせずに使ってしまう欠陥」のことです。
非常に広い概念で、SQLi・XSS・コマンドインジェクションなど多くの攻撃の前段階となります。
「入力は信用するな (Trust Boundaries の概念)」がセキュリティ設計の基本原則です。
CWE
Cwe 78
120
CWE-78: OSコマンドインジェクション
CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。
例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。
対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
CWE
Cwe 787
105
CWE-787: 境界外書き込み
CWE-787はCWE-119の中でも特に「メモリの確保された範囲外に書き込んでしまう」欠陥です。
書き込みできるとプログラムを完全に乗っ取れる (任意コード実行) ことが多く、CVSSスコアが極めて高くなりがちです。
MITREの「危険な脆弱性Top 25」で常に上位を占めています。
CWE
Cwe 416
99
CWE-416: 解放後使用 (Use-After-Free)
CWE-416は「メモリを解放した後にそのメモリを使ってしまう」欠陥です。
C/C++のような手動メモリ管理言語で頻発し、攻撃者はこれを利用して任意のコードを実行できることが多いです。
ブラウザのJavaScriptエンジン (V8, JavaScriptCore) でよく見つかり、ブラウザ経由のゼロデイ攻撃の典型的な原因となります。
CWE
Cwe 22
96
CWE-22: パストラバーサル
CWE-22は「ファイル名のパスをユーザー入力から組み立てるとき、`../` のような相対パス記号をきちんと無害化せず、本来アクセスできないファイルを読み書きされてしまう欠陥」のことです。
ファイルダウンロード機能・画像表示機能・テンプレート機能でよく見られます。
対策は「絶対パスへの正規化 + 許可されたディレクトリ内かのチェック」、または「ファイル名にIDのみを使い、パス記号を一切使わない設計」。
CWE
Cwe 119
90
CWE-119: メモリの境界外操作
CWE-119は「C/C++など低レベル言語で、配列の確保された範囲外にデータを読み書きしてしまう欠陥」のことです。
バッファオーバーフローやヒープオーバーフローと呼ばれる古典的な脆弱性で、攻撃者はこれを使って任意のコード実行を狙います。
ブラウザ・OS・ファームウェアなど低レベルなシステムで頻発します。
CWE
Cwe 94
84
CWE-94: コードインジェクション
CWE-94は「攻撃者が送ったデータが、プログラムコードとして解釈・実行されてしまう」欠陥です。
Pythonの `eval()`・PHPの `eval()`/`include()` にユーザー入力を渡すような実装が典型例です。
リモートコード実行 (RCE) の直接的な原因となるため、最も重大なクラスの脆弱性です。
CWE
Cwe 502
70
CWE-502: 安全でないデシリアライゼーション
CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。
Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
CWE
Cwe 79
66
CWE-79: クロスサイトスクリプティング (XSS)
CWE-79は「Webアプリがユーザー入力をきちんと無害化せずに画面に出力してしまう欠陥」のことです。
結果として、攻撃者はWebページに悪意あるJavaScriptを埋め込めるようになり、見た人のCookie (ログイン情報) や入力情報を盗めるようになります。
対策はWebの基本中の基本: 出力時のHTMLエスケープです。
CWE
Cwe 89
54
CWE-89: SQLインジェクション
CWE-89は「Webアプリがユーザー入力をきちんとパラメータ化せずにSQL文に埋め込んでしまう欠陥」のことです。
攻撃者はSQL文の構造を書き換えてデータベースを直接操作でき、全ユーザーのID/パスワードを抜く・データ改ざん・データベース全削除など何でもされます。
対策は「プリペアドステートメント (パラメータ化クエリ)」を必ず使うこと。
CWE
Cwe 918
44
タグ解説は準備中です
CWE
Cwe 284
43
タグ解説は準備中です
CWE
Cwe 287
41
タグ解説は準備中です
CWE
Cwe 77
40
タグ解説は準備中です
CWE
Cwe 306
38
タグ解説は準備中です
CWE
Cwe 843
37
タグ解説は準備中です
CWE
Cwe 200
34
タグ解説は準備中です
CWE
Cwe 122
34
タグ解説は準備中です
CWE
Cwe 125
34
タグ解説は準備中です
CWE
Cwe 264
31
タグ解説は準備中です
CWE
Cwe 74
25
タグ解説は準備中です
CWE
Cwe 863
23
タグ解説は準備中です
CWE
Cwe 190
22
タグ解説は準備中です
CWE
Cwe 434
22
タグ解説は準備中です
CWE
Cwe 693
20
タグ解説は準備中です
CWE
Cwe 269
19
タグ解説は準備中です
CWE
Cwe 288
18
タグ解説は準備中です
CWE
Cwe 862
17
タグ解説は準備中です
CWE
Cwe 399
17
タグ解説は準備中です
CWE
Cwe 121
16
タグ解説は準備中です
CWE
Cwe 59
16
タグ解説は準備中です
CWE
Cwe 362
15
タグ解説は準備中です
CWE
Cwe 476
14
タグ解説は準備中です
CWE
Cwe 120
13
タグ解説は準備中です
CWE
Cwe 400
12
タグ解説は準備中です
CWE
Cwe 401
12
タグ解説は準備中です
CWE
Cwe 611
11
タグ解説は準備中です
CWE
Cwe 404
11
タグ解説は準備中です
CWE
Cwe 367
10
タグ解説は準備中です
CWE
Cwe 798
9
タグ解説は準備中です
CWE
Cwe 23
9
タグ解説は準備中です
CWE
Cwe 88
9
タグ解説は準備中です
CWE
Cwe 415
9
タグ解説は準備中です
CWE
Cwe 770
8
タグ解説は準備中です
CWE
Cwe 138
8
タグ解説は準備中です
CWE
Cwe 1188
7
タグ解説は準備中です
CWE
Cwe 290
7
タグ解説は準備中です
CWE
Cwe 80
7
タグ解説は準備中です
CWE
Cwe 73
7
タグ解説は準備中です
CWE
Cwe 917
7
タグ解説は準備中です
CWE
Cwe 347
7
タグ解説は準備中です
CWE
Cwe 601
7
タグ解説は準備中です
CWE
Cwe 285
7
タグ解説は準備中です
CWE
Cwe 95
7
タグ解説は準備中です
CWE
Cwe 189
6
タグ解説は準備中です
CWE
Cwe 436
6
タグ解説は準備中です
CWE
Cwe 1321
6
タグ解説は準備中です
CWE
Cwe 295
6
タグ解説は準備中です
CWE
Cwe 352
6
タグ解説は準備中です
CWE
Cwe 506
6
タグ解説は準備中です
CWE