鐵人檔案
Identification and Authentication Failures 指的是程式在驗證身分以及授權上出現漏洞,讓攻擊者有機會可以透過手段攻破驗證...
Software and Data Integrity Failures 主要指的是程式或資料在迭代更新的過程中遭到污染的情況,最常聽到的就是supply ch...
CWE-494: Download of Code Without Integrity Check跟上一個Inclusion of Functionality...
Deserialization of Untrusted Data將未受信任的資料直接反序列化後使用,可能會導致系統遭到RCE攻擊(Remote Code Ex...
Security Logging and Monitoring Failures,指的是系統的LOG沒做好規劃或缺乏監控機制等相關弱點。 OWASP 同樣也列舉...
Omission of Security-relevant Information系統在記載log時忽略了紀錄重要的訊息,可能導致受到攻擊後無法及時掌握情況,像...
Insertion of Sensitive Information into Log File是指將機敏資料寫進Log當中的弱點。由於一般來說系統的log並沒...
Insufficient Logging 跟 Omission of Security-relevant Information的概念相似,都是log紀錄不足的...
CWE-201: Insertion of Sensitive Information Into Sent Data指的是系統在傳輸資料過程之中將包含了對方不應...
當客戶端瀏覽器發送Request到網站Server之後,Server會回應頁面資訊給瀏覽器來作呈現,回應的其中一種資訊就是http header,透過新增、調整...
