CWE完整漏洞清单 - vulsee.com

CWE-11 ASP.NET误配置：创建Debug模式二进制
CWE-12 ASP.NET误配置：缺少定制错误页面
CWE-13 ASP.NET误配置：配置文件中存储口令
CWE-14 编译器移除释放缓冲区的代码
CWE-5 J2EE误配置：未经加密的数据传输
CWE-6 J2EE误配置：会话ID长度不充分
CWE-7 J2EE误配置：缺少定制错误页面
CWE-8 J2EE误配置：实体Bean远程声明
CWE-9 J2EE误配置：EJB方法弱访问权限
CWE-555 J2EE误配置：在配置文件中明文存储口令
CWE-319 敏感数据的明文传输
CWE-334 随机数的空间太小
CWE-756 定制错误页面缺失
CWE-668 将资源暴露给错误范围
CWE-266 特权授予不正确
CWE-215 通过Debug信息导致的信息暴露
CWE-260 配置文件中存储口令
CWE-733 编译器优化对安全关键代码的移除或修改
CWE-642 对关键状态数据的外部可控制
CWE-610 资源在另一范围的外部可控制索引
CWE-20 输入验证不恰当
CWE-4 J2EE环境问题
CWE-519 .NET环境问题
CWE-116 对输出编码和转义不恰当
CWE-119 内存缓冲区边界内操作的限制不恰当
CWE-133 字符串错误
CWE-136 类型错误
CWE-137 表示错误
CWE-199 信息管理错误
CWE-461 数据结构问题 http://vulsee.com
CWE-471 对假设不可变数据的修改（MAID）
CWE-1039 自动识别机制在检测或处理对抗性输入扰动时能力不足
CWE-693 保护机制失效
CWE-22 对路径名的限制不恰当（路径遍历）
CWE-41 对路径等价的解析不恰当
CWE-59 在文件访问前对链接解析不恰当（链接跟随）
CWE-66 标识虚拟资源的文件名处理不恰当
CWE-706 使用不正确的解析名称或索引
CWE-23 相对路径遍历
CWE-36 绝对路径遍历
CWE-160 起始特殊元素净化处理不恰当
CWE-162 结尾特殊元素转义处理不恰当
CWE-42 路径等价：’filename.’ (尾部点号)
CWE-163 多重结尾特殊元素转义处理不恰当
CWE-44 路径等价：’file.name’ (内部点号)
CWE-165 多重内部特殊元素净化处理不恰当
CWE-161 多重起始特殊元素净化处理不恰当
CWE-155 双字符或匹配符号转义处理不恰当
CWE-707 对消息或数据结构的处理不恰当
CWE-74 输出中的特殊元素转义处理不恰当（注入）
CWE-75 特殊命令到另一不同平面时的净化处理不恰当（特殊命令注入）
CWE-77 在命令中使用的特殊元素转义处理不恰当（命令注入）
CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本）
CWE-83 Web页面属性中脚本转义处理不恰当
CWE-436 解释冲突
CWE-943 数据查询逻辑中特殊元素的不当中和
CWE-913 动态管理代码资源的控制不恰当
CWE-691 不充分的控制流管理
CWE-94 对生成代码的控制不恰当（代码注入）
CWE-96 静态存储代码中指令转义处理不恰当（静态代码注入）
CWE-829 从非可信控制范围包含功能例程
CWE-694 使用多个具有重复标识的资源
CWE-1173 验证框架使用不当
CWE-573 调用者对规范的不恰当使用
CWE-710 编程规范违背
CWE-695 使用底层的功能例程
CWE-93 对CRLF序列的转义处理不恰当（CRLF注入）
CWE-120 未进行输入大小检查的缓冲区拷贝（传统缓冲区溢出）
CWE-125 跨界内存读
CWE-466 在预期范围外返回指针值
CWE-680 整数溢出导致缓冲区溢出
CWE-786 在缓冲区起始位置之前访问内存
CWE-787 跨界内存写
CWE-788 在缓冲区结束位置之后访问内存
CWE-805 使用不正确的长度值访问缓冲区
CWE-822 非可信指针解引用
CWE-823 使用越界的指针偏移
CWE-824 使用未经初始化的指针
CWE-825 无效指针解引用
CWE-682 数值计算不正确
CWE-240 对不一致结构体元素处理不恰当
CWE-134 使用外部控制的格式字符串
CWE-135 多字节字符串长度的计算不正确
CWE-251 经常被滥用：字符串管理
CWE-597 在字符串比较中使用了错误的操作符
CWE-681 数值类型间的不正确转换
CWE-704 不正确的类型转换
CWE-138 对特殊元素的转义处理不恰当
CWE-171 清理、规范化和比较错误
CWE-188 依赖数据/内存布局
CWE-228 语法无效结构处理不恰当
CWE-140 分隔符转义处理不恰当
CWE-164 内部特殊元素净化处理不恰当
CWE-159 特殊元素净化处理不恰当
CWE-703 对异常条件检查或处理不恰当
CWE-172 编码错误
CWE-178 大小写敏感处理不恰当
CWE-179 不正确的行为次序：过早验证
CWE-180 不正确的行为次序：规范化之前验证
CWE-181 不正确的行为次序：在过滤之前验证
CWE-182 数据的崩溃导致不安全数值
CWE-183 宽松定义的白名单
CWE-184 不完整的黑名单
CWE-185 不正确的正则表达式
CWE-187 部分比较
CWE-478 在Switch语句中缺失缺省条件
CWE-486 使用名称来比较对象
CWE-595 错误对对象引用当作对象内容进行比较
CWE-697 不充分的比较
CWE-768 不正确的快捷方式验证
CWE-675 对资源的重复操作
CWE-696 不正确的行为次序
CWE-1023 缺失要素致使对比不完全
CWE-1105 机器相关功能的封装不足
CWE-435 交互错误
CWE-129 对数组索引的验证不恰当
CWE-198 字节序使用不正确
CWE-839 未进行最小值检查的数值范围比较
CWE-1077 使用不正确的比较运算符比较浮点值
CWE-200 信息暴露
CWE-216 容器错误
CWE-221 信息丢失或遗漏
CWE-779 日志记录过多数据
CWE-359 侵犯隐私
CWE-203 通过差异性导致的信息暴露
CWE-205 通过行为差异性导致的信息暴露
CWE-755 对异常条件的处理不恰当
CWE-209 通过错误消息导致的信息暴露
CWE-669 在范围间的资源转移不正确
CWE-664 在生命周期中对资源的控制不恰当
CWE-285 授权机制不恰当
CWE-459 清理环节不完整
CWE-242 使用内在危险函数
CWE-243 未改变工作目录时创建chroot Jail
CWE-244 在释放前清理堆内存不恰当（堆检查）
CWE-245 J2EE不安全实践：对连接的直接管理
CWE-246 J2EE不安全实践：对套接字的直接使用
CWE-248 未捕获的异常
CWE-250 带着不必要的权限执行http://vulsee.com
CWE-252 未加检查的返回值
CWE-558 在多线程应用程序中使用getlogin()
CWE-229 值处理不恰当
CWE-233 参数问题
CWE-237 结构体元素处理不恰当
CWE-1177 使用被禁止的代码
CWE-226 在释放前未清除敏感信息
CWE-705 控制流范围控制不正确
CWE-657 违背安全设计原则
CWE-269 特权管理不恰当
CWE-754 对因果或异常条件的不恰当检查
CWE-255 凭证管理
CWE-256 明文存储口令
CWE-258 配置文件中缺省空口令
CWE-259 使用硬编码的口令
CWE-261 口令使用弱密码学算法
CWE-264 权限、特权和访问控制
CWE-272 最小特权原则违背
CWE-310 加密问题
CWE-330 使用不充分的随机数
CWE-345 对数据真实性的验证不充分
CWE-358 不恰当实现的标准安全检查
CWE-565 在信任Cookie未进行验证与完整性检查
CWE-602 服务端安全的客户端实施
CWE-653 不充分的划分
CWE-654 在安全决策中依赖单个元素
CWE-655 不充分的心理学可接受性
CWE-656 依赖构建于封闭的安全性
CWE-778 不充分的日志记录
CWE-798 使用硬编码的凭证
CWE-807 在安全决策中依赖未经信任的输入
CWE-262 未使用口令老化机制
CWE-263 口令老化拥有过长有效期
CWE-521 弱口令要求
CWE-522 不充分的凭证保护机制
CWE-549 口令域未进行输入隐藏
CWE-620 未经验证的口令修改
CWE-640 忘记口令恢复机制弱
CWE-287 认证机制不恰当
CWE-326 不充分的加密强度
CWE-404 不恰当的资源关闭或释放
CWE-265 权限/沙箱问题
CWE-275 Permission Issues
CWE-282 属主管理不恰当
CWE-284 访问控制不恰当
CWE-749 暴露危险的方法或函数
CWE-267 特权定义了不安全动作
CWE-268 特权链锁
CWE-271 特权放弃/降低错误
CWE-274 不充分特权处理不恰当
CWE-501 违背信任边界
CWE-580 未定义super.clone()的clone()方法
CWE-648 特权API的不正确使用
CWE-766 关键变量被公开声明
CWE-767 通过公开方法可访问到关键的私有数据
CWE-276 缺省权限不正确
CWE-277 不安全的继承权限
CWE-278 不安全的预留继承权限
CWE-279 不安全的运行时授予权限
CWE-280 不充分权限或特权的处理不恰当
CWE-281 权限预留不恰当
CWE-618 暴露的不安全ActiveX方法
CWE-732 关键资源的不正确权限授予
CWE-290 使用欺骗进行的认证绕过
CWE-923 通信信道对预期端点的不适当限制
CWE-295 证书验证不恰当
CWE-672 在过期或释放后对资源进行操作
CWE-799 交互频率的控制不恰当
CWE-311 敏感数据加密缺失
CWE-320 密钥管理错误
CWE-325 缺少必要的密码学步骤
CWE-327 使用已被攻破或存在风险的密码学算法
CWE-328 可逆的单向哈希
CWE-329 在CBC加密模式中未使用随机化IV向量
CWE-347 密码学签名的验证不恰当
CWE-780 未配合OAEP使用RSA算法
CWE-922 敏感信息的不安全存储
CWE-312 敏感数据的明文存储
CWE-321 使用硬编码的密码学密钥
CWE-322 未进行实体认证的密钥交换
CWE-323 在加密中重用Nonce与密钥对
CWE-324 使用已过期的密钥
CWE-344 在动态变化上下文中使用不变值
CWE-331 信息熵不充分
CWE-335 PRNG种子错误
CWE-338 使用具有密码学弱点缺陷的PRNG
CWE-340 可预测问题
CWE-341 从可观察状态的可预测
CWE-342 从先前值可预测准确值
CWE-343 从先前值可预测取值范围
CWE-804 可猜测的验证码
CWE-317 在GUI中的明文存储
CWE-356 产品UI接口未警示用户不安全动作
CWE-357 对危险操作的UI警示不充分
CWE-446 安全特性的UI矛盾
CWE-450 UI输入的多重解释
CWE-451 关键信息的UI错误表达
CWE-362 使用共享资源的并发执行不恰当同步问题（竞争条件）
CWE-364 信号处理例程中的竞争条件
CWE-367 检查时间与使用时间(TOCTOU)的竞争条件
CWE-371 状态问题
CWE-376 临时文件问题
CWE-377 不安全的临时文件
CWE-380 特定技术的时间和状态问题
CWE-382 J2EE不安全实践：使用System.exit()
CWE-383 J2EE不安全实践：直接使用线程
CWE-384 会话固定
CWE-385 隐蔽时间通道
CWE-386 符号名称未能映射到正确对象
CWE-387 信号错误
CWE-412 未加限制的外部可访问锁
CWE-557 并发问题
CWE-609 双重检查的加锁机制
CWE-613 不充分的会话过期机制
CWE-662 不恰当的同步机制
CWE-663 在并发上下文中使用不可再入的函数
CWE-673 范围定义的外部影响
CWE-674 未经控制的递归
CWE-698 重定向后执行（EAR）
CWE-299 证书撤销验证不恰当
CWE-372 不完整的内部状态区分
CWE-374 传递不可变的对象给非可信方法
CWE-375 返回不可变的对象给非可信调用者
CWE-585 空的同步代码块
CWE-378 创建拥有不安全权限的临时文件
CWE-379 在具有不安全权限的目录中创建临时文件
CWE-381 J2EE时间和状态问题
CWE-543 在多线程上下文中使用缺失同步机制的Singleton设计模式
CWE-514 隐蔽通道
CWE-391 未经检查的错误条件
CWE-395 使用NullPointerException捕捉来检测空指针解引用
CWE-396 对通用异常声明Catch语句
CWE-397 对通用异常声明Throws语句
CWE-253 对函数返回值的检查不正确
CWE-390 未有动作错误条件的检测
CWE-392 错误条件报告缺失
CWE-393 返回错误的状态编码
CWE-394 未预期的状态编码或返回值
CWE-544 标准化错误处理机制缺失
CWE-584 在最后的代码块中返回
CWE-600 Servlet中未捕获的异常
CWE-617 可达断言
CWE-636 未能安全地进行程序失效（Failing Open）
CWE-684 特定函数功能的不正确供给
CWE-401 在移除最后引用时对内存的释放不恰当（内存泄露）
CWE-415 双重释放
CWE-416 释放后使用
CWE-457 使用未经初始化的变量
CWE-474 使用具有不一致性实现的函数
CWE-475 从输入到API的未定义行为
CWE-476 空指针解引用
CWE-477 对废弃函数的使用
CWE-400 未加控制的资源消耗（资源穷尽）
CWE-402 将私有的资源传输到一个新的空间（资源泄露）
CWE-405 不对称的资源消耗（放大攻击）
CWE-410 不充分的资源池
CWE-411 资源锁定问题
CWE-568 没有super.finalize()的finalize()方法
CWE-590 释放并不在堆上的内存
CWE-761 释放一个不在缓冲区起始位置的指针
CWE-762 不匹配的内存管理例程
CWE-763 对无效指针或索引的释放
CWE-772 对已超过有效生命周期的资源丧失索引
CWE-413 资源加锁不恰当
CWE-414 加锁检查缺失
CWE-667 加锁机制不恰当
CWE-666 在生命周期错误阶段对资源进行操作
CWE-419 未保护的主要通道
CWE-420 未保护的候选通道
CWE-424 对候选路径的不恰当保护
CWE-426 不可信的搜索路径
CWE-427 对搜索路径元素未加控制
CWE-428 未经引用的搜索路径或元素
CWE-360 信任系统事件数据
CWE-638 未能使用完整仲裁
CWE-862 授权机制缺失
CWE-288 使用候选路径或通道进行的认证绕过
CWE-430 错误句柄的实施
CWE-431 句柄缺失
CWE-432 在敏感操作时危险信号处理例程未被禁用
CWE-433 未加解析的原始Web内容分发
CWE-434 危险类型文件的不加限制上传
CWE-479 信号处理例程中使用不可再入的函数
CWE-616 上传文件变量的不完整标识（PHP）
CWE-219 Web根目录下的敏感数据
CWE-1038 不安全的自动优化
CWE-439 新版本或环境中的行为变化
CWE-440 预期行为违背
CWE-670 控制流实现总是不正确
CWE-834 过度迭代
CWE-841 行为工作流的不恰当实施
CWE-912 隐藏功能
CWE-1004 没有’HttpOnly’标志的敏感Cookie
CWE-1007 屏幕显示出的不同编码的同形字母不易区分
CWE-1021 不当限制渲染UI层或帧
CWE-1022 使用windows.opener访问指向不可信目标的web链接
CWE-113 HTTP头部中CRLF序列转义处理不恰当（HTTP响应分割）
CWE-352 跨站请求伪造（CSRF）
CWE-425 直接请求（强制性浏览）
CWE-444 HTTP请求的解释不一致性（HTTP请求私运）
CWE-601 指向未可信站点的URL重定向（开放重定向）
CWE-611 XML外部实体引用的不恰当限制（XXE）
CWE-614 HTTPS会话中未设置’Secure’属性的敏感Cookie
CWE-644 对HTTP头部进行脚本语法转义处理不恰当
CWE-646 依赖于外部提供文件的文件名或扩展名
CWE-647 使用未经净化的URL路径进行授权决策
CWE-776 DTD中递归实体索引的不恰当限制（XML实体扩展）
CWE-784 在安全决策中依赖未经验证和完整性检查的Cookie
CWE-827 文档类型定义的不恰当控制
CWE-918 服务端请求伪造（SSRF）
CWE-671 缺乏对安全的管理控制
CWE-454 可信任变量或数据存储的外部初始化
CWE-455 初始化失效后的不存在变量
CWE-460 抛出异常的清理不恰当
CWE-665 初始化不恰当
CWE-908 对未经初始化资源的使用
CWE-910 使用过期的文件描述符
CWE-911 引用计数的更新不恰当
CWE-1051 使用硬编码的网络资源配置数据进行初始化
CWE-1052 在初始化中过多使用硬编码字面量
CWE-1188 不安全的默认资源初始化
CWE-909 资源初始化缺失
CWE-1187 使用未初始化的资源
CWE-462 在关联列表中具有重复Key
CWE-463 对数据结构哨兵域的删除
CWE-464 对数据结构哨兵域的增加
CWE-467 在指针类型上使用sizeof()
CWE-468 不正确的指针放大
CWE-469 使用指针的减法来确定大小
CWE-587 将一个固定地址复制给指针
CWE-588 尝试访问一个非结构体指针的子域
CWE-781 在METHOD_NEITHERIO控制代码中的IOCTL地址验证不恰当
CWE-758 依赖未定义、未指明或实现定义的行为
CWE-828 非异步安全功能中的信号处理例程
CWE-480 使用操作符不正确
CWE-488 对错误会话暴露数据元素
CWE-489 遗留的调试代码
CWE-491 公开的可克隆方法（对象劫持）
CWE-492 使用包含敏感数据的内部对象
CWE-493 缺少Final Modifier的关键公开变量
CWE-495 从公开方法中返回私有的数组类型数据域
CWE-496 公开数据赋值给私有的数组类型数据域
CWE-497 将系统数据暴露到未授权控制的范围
CWE-1025 使用错误要素进行比较
CWE-494 下载代码缺少完整性检查
CWE-498 包含敏感信息的可克隆类
CWE-499 可序列化的类中包含敏感信息
CWE-582 公开、最终、静态声明的数组
CWE-583 公开声明的finalize()方法
CWE-506 内嵌的恶意代码
CWE-507 特洛伊木马
CWE-520 .NET误配置：使用伪装
CWE-554 ASP.NET误配置：没有使用输入验证框架
CWE-556 ASP.NET误配置：使用身份伪装
CWE-524 通过缓存导致的信息暴露
CWE-538 文件和路径信息暴露
CWE-552 对外部实体的文件或目录可访问
CWE-540 通过源代码导致的信息暴露
CWE-210 通过自主产生的错误消息导致的信息暴露
CWE-820 缺失同步机制
CWE-1078 不适当的源代码样式或格式
CWE-863 授权机制不正确
CWE-366 单线程内的竞争条件
CWE-567 在多现场上下文中未能对共享数据进行同步访问
CWE-572 调用线程的run()方法而非start()方法
CWE-560 在chmod类型参数中使用umask()
CWE-628 使用不正确指定参数的函数调用
CWE-687 使用不正确指定参数值的函数调用
CWE-1164 不相关代码
CWE-89 SQL命令中使用的特殊元素转义处理不恰当（SQL注入）
CWE-639 通过用户控制密钥绕过授权机制
CWE-570 表达式永假
CWE-571 表达式永真
CWE-783 操作符优先级逻辑错误
CWE-821 不正确的同步机制
CWE-1071 空的代码块
CWE-1076 对预期协议的遵守不足
CWE-914 动态识别变量的控制不恰当
CWE-712 OWASP Top Ten 2007 Category A1 – Cross Site Scripting (XSS)
CWE-713 OWASP Top Ten 2007 Category A2 – Injection Flaws
CWE-714 OWASP Top Ten 2007 Category A3 – Malicious File Execution
CWE-715 OWASP Top Ten 2007 Category A4 – Insecure Direct Object Reference
CWE-716 OWASP Top Ten 2007 Category A5 – Cross Site Request Forgery (CSRF)
CWE-717 OWASP Top Ten 2007 Category A6 – Information Leakage and Improper Error Handling
CWE-718 OWASP Top Ten 2007 Category A7 – Broken Authentication and Session Management
CWE-719 OWASP Top Ten 2007 Category A8 – Insecure Cryptographic Storage
CWE-720 OWASP Top Ten 2007 Category A9 – Insecure Communications
CWE-721 OWASP Top Ten 2007 Category A10 – Failure to Restrict URL Access
CWE-16 配置
CWE-189 数值错误
CWE-399 资源管理错误
CWE-78 OS命令中使用的特殊元素转义处理不恰当（OS命令注入）
CWE-99 对资源描述符的控制不恰当（资源注入）
CWE-91 XML注入（XPath盲注）
CWE-487 依赖包一级的范围
CWE-738 CERT C Secure Coding Standard (2008) Chapter 5 – Integers (INT)
CWE-739 CERT C Secure Coding Standard (2008) Chapter 6 – Floating Point (FLP)
CWE-752 2009 Top 25 – Risky Resource Management
CWE-872 CERT C++ Secure Coding Section 04 – Integers (INT)
CWE-873 CERT C++ Secure Coding Section 05 – Floating Point Arithmetic (FLP)
CWE-977 SFP Secondary Cluster: Design
CWE-1003 已发布漏洞的简化映射的缺点
CWE-1137 SEI CERT Oracle Java安全编码标准-准则03.数值类型和运算（NUM）
CWE-1158 SEI CERT C编码标准-准则04.整数（INT）
CWE-1159 SEI CERT C编码标准-准则05.浮点（FLP）
CWE-623 不安全的ActiveX控件被标记为脚本安全
CWE-757 在会话协商时选择低安全性的算法（算法降级）
CWE-1024 不兼容类型的比较
CWE-581 对象模型违背：仅定义了一个等式与散列码
CWE-19 数据处理错误
CWE-21 路径名遍历和等值错误
CWE-254 7PK-安全功能
CWE-361 7PK-时间和状态
CWE-389 错误条件、返回值、状态代码
CWE-417 通道和路径错误
CWE-429 处理程序错误
CWE-438 行为问题
CWE-840 业务逻辑错误
CWE-442 网络问题
CWE-355 用户界面安全问题
CWE-452 初始化和清除错误
CWE-465 指针问题
CWE-490 移动代码问题
CWE-559 常见误用：形参和实参
CWE-569 表达问题
CWE-1006 错误的编码做法
CWE-388 7PK-错误
CWE-1005 7PK-输入验证和表示
CWE-227 7PK-API滥用
CWE-398 7PK-代码质量
CWE-485 7PK -封装
CWE-2 7PK-环境
CWE-166 缺失特殊元素净化处理不恰当
CWE-167 附加特殊元素净化处理不恰当
CWE-168 不一致特殊元素净化处理不恰当
CWE-333 TRNG不充分信息熵的处理不恰当
CWE-170 不恰当的空终结符
CWE-1041 使用冗余代码
CWE-1044 体系架构的水平层数超出预期范围
CWE-1048 具有大量外拨电话的可调用控制元素http://vulsee.com
CWE-1059 不完整的文件
CWE-1061 封装不足
CWE-1065 在应用服务器上运行组件的资源管理控制元素
CWE-1066 缺少序列化控件元素
CWE-1068 软件实现和设计文档不一致
CWE-107 Structs：未使用的验证表单
CWE-1070 可序列化数据元素中包含不可序列化项的元素
CWE-1092 在多个架构层中使用相同的可调用控件元素
CWE-1093 数据表示过于复杂
CWE-110 Structs：无表单域的验证器
CWE-1101 生成代码中对运行时组件的依赖
CWE-1104 使用未维护的第三方组件
CWE-1120 代码过于复杂
CWE-1126 使用不必要的大范围声明变量
CWE-1127 警告或错误不足的编译
CWE-484 在Switch语句中省略Break语句
CWE-594 J2EE框架：将不可序列化的对象存储到磁盘上
CWE-722 OWASP Top Ten 2004 Category A1 – Unvalidated Input
CWE-723 OWASP Top Ten 2004 Category A2 – Broken Access Control
CWE-724 OWASP Top Ten 2004 Category A3 – Broken Authentication and Session Management
CWE-725 OWASP Top Ten 2004 Category A4 – Cross-Site Scripting (XSS) Flaws
CWE-726 OWASP Top Ten 2004 Category A5 – Buffer Overflows
CWE-727 OWASP Top Ten 2004 Category A6 – Injection Flaws
CWE-728 OWASP Top Ten 2004 Category A7 – Improper Error Handling
CWE-729 OWASP Top Ten 2004 Category A8 – Insecure Storage
CWE-730 OWASP Top Ten 2004 Category A9 – Denial of Service
CWE-731 OWASP Top Ten 2004 Category A10 – Insecure Configuration Management
CWE-90 LDAP查询中使用的特殊元素转义处理不恰当（LDAP注入）
CWE-95 动态执行代码中指令转义处理不恰当（Eval注入）
CWE-98 PHP程序中Include/Require语句包含文件控制不恰当(PHP远程文件包含)
CWE-472 对假设不可变Web参数的外部可控制
CWE-301 认证协议中的反射攻击
CWE-102 Structs：重复验证表单
CWE-103 Structs：不完整的validate()方法定义
CWE-104 Structs：表单Bean未扩展验证类
CWE-106 Structs：插件框架未在使用
CWE-109 Structs：验证器关闭
CWE-283 未经验证的属主
CWE-525 通过浏览器缓存导致的信息暴露
CWE-551 不正确的行为次序：在解析与净化处理之前进行授权
CWE-708 不正确的属主授予
CWE-73 文件名或路径的外部可控制
CWE-296 证书信任链回溯不恰当
CWE-298 证书过期验证不恰当
CWE-302 使用假设不可变数据进行的认证绕过
CWE-304 认证中关键步骤缺失
CWE-307 过多认证尝试的限制不恰当
CWE-309 使用口令系统作为基本认证机制
CWE-117 日志输出的转义处理不恰当
CWE-539 通过持久性Cookie导致的信息暴露
CWE-591 敏感数据存储于加锁不恰当的内存区域
CWE-598 通过GET请求中的查询字符串导致的信息暴露
CWE-369 除零错误
CWE-526 通过环境变量导致的信息暴露
CWE-527 将CVS仓库暴露给非授权控制范围
CWE-528 将CoreDump文件暴露给非授权控制范围
CWE-529 将访问控制列表文件暴露给非授权控制范围
CWE-530 将备份文件暴露给非授权控制范围
CWE-531 通过测试代码导致的信息暴露
CWE-532 通过日志文件的信息暴露
CWE-541 通过包含源代码导致的信息暴露
CWE-548 通过目录枚举导致的信息暴露
CWE-735 CERT C Secure Coding Standard (2008) Chapter 2 – Preprocessor (PRE)
CWE-736 CERT C Secure Coding Standard (2008) Chapter 3 – Declarations and Initialization (DCL)
CWE-737 CERT C Secure Coding Standard (2008) Chapter 4 – Expressions (EXP)
CWE-740 CERT C Secure Coding Standard (2008) Chapter 7 – Arrays (ARR)
CWE-741 CERT C Secure Coding Standard (2008) Chapter 8 – Characters and Strings (STR)
CWE-742 CERT C Secure Coding Standard (2008) Chapter 9 – Memory Management (MEM)
CWE-743 CERT C Secure Coding Standard (2008) Chapter 10 – Input Output (FIO)
CWE-744 CERT C Secure Coding Standard (2008) Chapter 11 – Environment (ENV)
CWE-745 CERT C Secure Coding Standard (2008) Chapter 12 – Signals (SIG)
CWE-746 CERT C Secure Coding Standard (2008) Chapter 13 – Error Handling (ERR)
CWE-747 CERT C Secure Coding Standard (2008) Chapter 14 – Miscellaneous (MSC)
CWE-748 CERT C Secure Coding Standard (2008) Appendix – POSIX (POS)
CWE-547 使用硬编码、安全相关的常数
CWE-686 使用不正确参数类型的函数调用
CWE-190 整数溢出或超界折返
CWE-192 整数强制转换错误
CWE-197 数值截断错误
CWE-606 循环条件输入未经检查
CWE-676 潜在危险函数的使用
CWE-193 Off-by-one错误
CWE-88 参数注入或修改
CWE-128 超界折返处理错误
CWE-131 缓冲区大小计算不正确
CWE-241 非预期数据类型处理不恰当
CWE-37 路径遍历：’/absolute/pathname/here’
CWE-38 路径遍历：’\absolute\pathname\here’
CWE-39 路径遍历：’C:dirname’
CWE-403 将文件描述符暴露给不受控制的范围（文件描述符泄露）
CWE-62 UNIX硬链接
CWE-64 Windows快捷方式跟随（.LNK）
CWE-65 Windows硬链接
CWE-67 Windows设备名处理不恰当
CWE-176 Unicode编码处理不恰当
CWE-482 错误将赋值符号写成比较符号
CWE-561 死代码
CWE-563 未使用的变量
CWE-273 对于放弃特权的检查不恰当
CWE-363 允许符号链接跟随的竞争条件
CWE-562 返回栈上的变量地址
CWE-751 2009 Top 25 – Insecure Interaction Between Components
CWE-753 2009 Top 25 – Porous Defenses
CWE-916 使用具有不充分计算复杂性的口令哈希
CWE-771 对活跃已分配资源丧失索引
CWE-770 不加限制或调节的资源分配
CWE-409 对高度压缩数据的处理不恰当（数据放大攻击）
CWE-625 宽松定义的正则表达式
CWE-223 安全相关信息的遗漏
CWE-790 特殊元素过滤不恰当
CWE-791 特殊元素过滤不完全
CWE-792 对一个或多个特殊元素实例的过滤不完全
CWE-795 仅在一个特定位置过滤特殊元素
CWE-808 2010 Top 25 – Weaknesses On the Cusp
CWE-803 2010 Top 25 – Porous Defenses
CWE-802 2010 Top 25 – Risky Resource Management
CWE-801 2010 Top 25 – Insecure Interaction Between Components
CWE-306 关键功能的认证机制缺失
CWE-212 敏感数据的不恰当跨边界移除
CWE-456 变量未经初始化
CWE-810 OWASP Top Ten 2010 Category A1 – Injection
CWE-811 OWASP Top Ten 2010 Category A2 – Cross-Site Scripting (XSS)
CWE-812 OWASP Top Ten 2010 Category A3 – Broken Authentication and Session Management
CWE-813 OWASP Top Ten 2010 Category A4 – Insecure Direct Object References
CWE-814 OWASP Top Ten 2010 Category A5 – Cross-Site Request Forgery(CSRF)
CWE-815 OWASP Top Ten 2010 Category A6 – Security Misconfiguration
CWE-816 OWASP Top Ten 2010 Category A7 – Insecure Cryptographic Storage
CWE-817 OWASP Top Ten 2010 Category A8 – Failure to Restrict URL Access
CWE-818 OWASP Top Ten 2010 Category A9 – Insufficient Transport Layer Protection
CWE-819 OWASP Top Ten 2010 Category A10 – Unvalidated Redirects and Forwards
CWE-759 使用未加Salt的单向哈希算法
CWE-408 不正确的行为次序：早期放大攻击
CWE-286 用户管理不正确
CWE-845 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 2 – Input Validation and Data Sanitization (IDS)
CWE-846 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 3 – Declarations and Initialization (DCL)
CWE-847 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 4 – Expressions (EXP)
CWE-848 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 5 – Numeric Types and Operations (NUM)
CWE-849 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 6 – Object Orientation (OBJ)
CWE-850 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 7 – Methods (MET)
CWE-851 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 8 – Exceptional Behavior (ERR)
CWE-852 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 9 – Visibility and Atomicity (VNA)
CWE-853 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 10 – Locking (LCK)
CWE-854 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 11 – Thread APIs (THI)
CWE-855 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 12 – Thread Pools (TPS)
CWE-856 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 13 – Thread-Safety Miscellaneous (TSM)
CWE-857 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 14 – Input Output (FIO)
CWE-858 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 15 – Serialization (SER)
CWE-859 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 16 – Platform Security (SEC)
CWE-860 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 17 – Runtime Environment (ENV)
CWE-861 The CERT Oracle Secure Coding Standard for Java (2011) Chapter 18 – Miscellaneous (MSC)
CWE-144 行分隔符转义处理不恰当
CWE-150 转义、元或控制序列转义处理不恰当
CWE-289 使用候选名称进行的认证绕过
CWE-838 输出上下文语义编码不恰当
CWE-500 公开静态字段没有标记为Final
CWE-586 对Finalize()的显式调用
CWE-589 对非普适API的调用
CWE-230 缺失值处理不恰当
CWE-232 未定义值处理不恰当
CWE-690 未检查返回值导致空指针解引用
CWE-833 死锁
CWE-502 可信数据的反序列化
CWE-111 对不安全JNI的直接使用
CWE-300 通道可被非端点访问（中间人攻击）
CWE-470 使用外部可控制的输入来选择类或代码（不安全的反射）
CWE-349 在可信数据中接受外来的不可信数据
CWE-332 PRNG中信息熵不充分
CWE-336 PRNG中使用相同种子
CWE-337 PRNG中使用可预测种子
CWE-869 CERT C++ Secure Coding Section 01 – Preprocessor (PRE)
CWE-870 CERT C++ Secure Coding Section 02 – Declarations and Initialization (DCL)
CWE-871 CERT C++ Secure Coding Section 03 – Expressions (EXP)
CWE-874 CERT C++ Secure Coding Section 06 – Arrays and the STL (ARR)
CWE-875 CERT C++ Secure Coding Section 07 – Characters and Strings (STR)
CWE-876 CERT C++ Secure Coding Section 08 – Memory Management (MEM)
CWE-877 CERT C++ Secure Coding Section 09 – Input Output (FIO)
CWE-878 CERT C++ Secure Coding Section 10 – Environment (ENV)
CWE-879 CERT C++ Secure Coding Section 11 – Signals (SIG)
CWE-880 CERT C++ Secure Coding Section 12 – Exceptions and Error Handling (ERR)
CWE-881 CERT C++ Secure Coding Section 13 – Object Oriented Programming (OOP)
CWE-882 CERT C++ Secure Coding Section 14 – Concurrency (CON)
CWE-883 CERT C++ Secure Coding Section 49 – Miscellaneous (MSC)
CWE-173 候选编码方案处理不恰当
CWE-174 对同一数据的双重编码
CWE-175 混合编码处理不恰当
CWE-191 整数下溢（超界折返）
CWE-222 安全相关信息的截断
CWE-270 特权上下文切换错误
CWE-294 使用捕获-重放进行的认证绕过
CWE-308 使用单一因素认证机制
CWE-348 使用不可信的源
CWE-353 缺失完整性检查支持
CWE-354 完整性检查值验证不恰当
CWE-406 对网络消息容量的控制不充分（网络放大攻击）
CWE-407 算法复杂性
CWE-453 不安全的缺省变量初始化
CWE-483 不正确的代码块分界
CWE-546 可疑注释
CWE-605 对同一端口的多重绑定
CWE-621 变量抽取错误
CWE-627 动态变量执行
CWE-835 不可达退出条件的循环（无限循环）
CWE-998 SFP Secondary Cluster: Glitch in Computation
CWE-1001 SFP辅助群集:使用不正确的应用编程接口
CWE-885 SFP Primary Cluster: Risky Values
CWE-886 SFP Primary Cluster: Unused entities
CWE-887 SFP Primary Cluster: API
CWE-889 SFP Primary Cluster: Exception Management
CWE-890 SFP Primary Cluster: Memory Access
CWE-891 SFP Primary Cluster: Memory Management
CWE-892 SFP Primary Cluster: Resource Management
CWE-893 SFP Primary Cluster: Path Resolution
CWE-894 SFP Primary Cluster: Synchronization
CWE-895 SFP Primary Cluster: Information Leak
CWE-896 SFP Primary Cluster: Tainted Input
CWE-897 SFP Primary Cluster: Entry Points
CWE-898 SFP Primary Cluster: Authentication
CWE-899 SFP Primary Cluster: Access Control
CWE-901 SFP Primary Cluster: Privilege
CWE-902 SFP Primary Cluster: Channel
CWE-903 SFP Primary Cluster: Cryptography
CWE-904 SFP Primary Cluster: Malware
CWE-905 SFP Primary Cluster: Predictability
CWE-906 SFP Primary Cluster: UI
CWE-907 SFP Primary Cluster: Other
CWE-960 SFP Secondary Cluster: Ambiguous Exception Type
CWE-961 SFP Secondary Cluster: Incorrect Exception Behavior
CWE-962 SFP Secondary Cluster: Unchecked Status Condition
CWE-970 SFP Secondary Cluster: Faulty Buffer Access
CWE-971 SFP Secondary Cluster: Faulty Pointer Use
CWE-972 SFP Secondary Cluster: Faulty String Expansion
CWE-973 SFP Secondary Cluster: Improper NULL Termination
CWE-974 SFP Secondary Cluster: Incorrect Buffer Length Computation
CWE-969 SFP Secondary Cluster: Faulty Memory Release
CWE-982 SFP Secondary Cluster: Failure to Release Resource
CWE-983 SFP Secondary Cluster: Faulty Resource Use
CWE-984 SFP Secondary Cluster: Life Cycle
CWE-985 SFP Secondary Cluster: Unrestricted Consumption
CWE-979 SFP Secondary Cluster: Failed Chroot Jail
CWE-980 SFP Secondary Cluster: Link in Resource Name Resolution
CWE-981 SFP Secondary Cluster: Path Traversal
CWE-986 SFP Secondary Cluster: Missing Lock
CWE-987 SFP Secondary Cluster: Multiple Locks/Unlocks
CWE-988 SFP Secondary Cluster: Race Condition Window
CWE-989 SFP Secondary Cluster: Unrestricted Lock
CWE-963 SFP Secondary Cluster: Exposed Data
CWE-964 SFP Secondary Cluster: Exposure Temporary File
CWE-965 SFP Secondary Cluster: Insecure Session Management
CWE-966 SFP Secondary Cluster: Other Exposures
CWE-967 SFP Secondary Cluster: State Disclosure
CWE-990 SFP Secondary Cluster: Tainted Input to Command
CWE-991 SFP Secondary Cluster: Tainted Input to Environment
CWE-992 SFP Secondary Cluster: Faulty Input Transformation
CWE-993 SFP Secondary Cluster: Incorrect Input Handling
CWE-994 SFP Secondary Cluster: Tainted Input to Variable
CWE-1002 SFP辅助群集:意外的入口点
CWE-947 SFP Secondary Cluster: Authentication Bypass
CWE-948 SFP Secondary Cluster: Digital Certificate
CWE-949 SFP Secondary Cluster: Faulty Endpoint Authentication
CWE-950 SFP Secondary Cluster: Hardcoded Sensitive Data
CWE-951 SFP Secondary Cluster: Insecure Authentication Policy
CWE-952 SFP Secondary Cluster: Missing Authentication
CWE-953 SFP Secondary Cluster: Missing Endpoint Authentication
CWE-954 SFP Secondary Cluster: Multiple Binds to the Same Port
CWE-955 SFP Secondary Cluster: Unrestricted Authentication
CWE-944 SFP Secondary Cluster: Access Management
CWE-945 SFP Secondary Cluster: Insecure Resource Access
CWE-946 SFP Secondary Cluster: Insecure Resource Permissions
CWE-867 2011 Top 25 – Weaknesses On the Cusp
CWE-866 2011 Top 25 – Porous Defenses
CWE-865 2011 Top 25 – Risky Resource Management
CWE-864 2011 Top 25 – Insecure Interaction Between Components
CWE-956 SFP Secondary Cluster: Channel Attack
CWE-957 SFP Secondary Cluster: Protocol Error
CWE-958 SFP Secondary Cluster: Broken Cryptography
CWE-959 SFP Secondary Cluster: Weak Cryptography
CWE-508 非传播性的恶意代码
CWE-509 具传播性的恶意代码（病毒或蠕虫）
CWE-510 后门
CWE-511 逻辑/时间炸弹
CWE-512 间谍软件
CWE-69 Windows::DATA交换数据流处理不恰当
CWE-968 SFP Secondary Cluster: Covert Channel
CWE-339 PRNG中的种子空间太小
CWE-995 SFP Secondary Cluster: Feature
CWE-996 SFP Secondary Cluster: Security
CWE-997 SFP Secondary Cluster: Information Loss
CWE-975 SFP Secondary Cluster: Architecture
CWE-976 SFP Secondary Cluster: Compiler
CWE-978 SFP Secondary Cluster: Implementation
CWE-441 未有动机的代理或中间人（混淆代理）
CWE-929 OWASP Top Ten 2013 Category A1 – Injection
CWE-930 OWASP Top Ten 2013 Category A2 – Broken Authentication and Session Management
CWE-931 OWASP Top Ten 2013 Category A3 – Cross-Site Scripting (XSS)
CWE-932 OWASP Top Ten 2013 Category A4 – Insecure Direct Object References
CWE-933 OWASP Top Ten 2013 Category A5 – Security Misconfiguration
CWE-934 OWASP Top Ten 2013 Category A6 – Sensitive Data Exposure
CWE-935 OWASP Top Ten 2013 Category A7 – Missing Function Level Access Control
CWE-936 OWASP Top Ten 2013 Category A8 – Cross-Site Request Forgery (CSRF)
CWE-937 OWASP Top Ten 2013 Category A9 – Using Components with Known Vulnerabilities
CWE-938 OWASP Top Ten 2013 Category A10 – Unvalidated Redirects and Forwards
CWE-643 XPath表达式中数据转义处理不恰当（XPath注入）
CWE-652 XQuery表达式中数据转义处理不恰当（XQuery注入）
CWE-523 凭证传输未经安全保护
CWE-650 在服务器端信任HTTP权限模型
CWE-303 认证算法的不正确实现
CWE-305 使用基本弱点进行的认证绕过
CWE-603 使用客户端的认证机制
CWE-297 对宿主不匹配的证书验证不恰当
CWE-593 认证绕过：SSL对象创建后修改OpenSSL CTX对象
CWE-599 缺失对OpenSSL证书的验证
CWE-293 使用Refer域进行认证
CWE-346 源验证错误
CWE-350 不恰当地信任反向DNS
CWE-645 过度限制的账户封锁机制
CWE-422 未保护的Windows消息通道（Shatter）
CWE-421 当访问候选通道时的竞争条件
CWE-437 端点特性的不完整模型
CWE-760 使用可预测Salt的单向哈希算法
CWE-201 通过发送数据的信息暴露
CWE-211 通过外部产生的错误消息导致的信息暴露
CWE-213 故意性的信息暴露
CWE-214 通过处理环境导致的信息暴露
CWE-220 FTP根目录下的敏感数据
CWE-257 以可恢复格式存储口令
CWE-313 在文件或磁盘上的明文存储
CWE-314 在注册表中的明文存储
CWE-315 在Cookie中的明文存储
CWE-316 在内存中的明文存储
CWE-318 在可执行体中的明文存储
CWE-535 通过Shell错误消息导致的信息暴露
CWE-536 通过Servlet运行时错误消息导致的信息暴露
CWE-537 通过Java运行时错误消息导致的信息暴露
CWE-550 通过服务器错误消息导致的信息暴露
CWE-607 公开静态最终域索引互斥的对象
CWE-612 通过私有数据的索引导致的信息暴露
CWE-615 通过注释导致的信息暴露
CWE-651 通过WSDL文件导致的信息暴露
CWE-202 通过数据查询的敏感数据暴露
CWE-204 响应差异性信息暴露
CWE-206 通过行为不一致性导致的内部状态信息暴露
CWE-207 通过外部行为不一致性导致的信息暴露
CWE-208 通过时间差异性导致的信息暴露
CWE-515 隐蔽存储通道
CWE-118 对可索引资源的访问不恰当（越界错误）
CWE-121 栈缓冲区溢出
CWE-122 堆缓冲区溢出
CWE-123 任意地址可写任意内容条件
CWE-124 缓冲区下溢
CWE-126 缓冲区上溢读取
CWE-127 缓冲区下溢读取
CWE-785 路径操作函数中使用未进行大小限定的缓冲区
CWE-637 保护机制不必要的复杂性（未使用经济性的机制）
CWE-649 依赖于未经完整性检查的安全相关输入的混淆或加密
CWE-115 输入的错误解释
CWE-24 路径遍历：’../filedir’
CWE-25 路径遍历：’/../filedir’
CWE-26 路径遍历：’dir/../filename’
CWE-27 路径遍历：’dir/../../filename’
CWE-28 路径遍历：’..\filedir’
CWE-29 路径遍历：’\..\filename’
CWE-30 路径遍历：’\dir\filename’
CWE-31 路径遍历：’dir\..\..\filename’
CWE-32 路径遍历：’…’ （三个点号）
CWE-33 路径遍历：’….’ （多个点号）
CWE-34 路径遍历：’….//’
CWE-35 路径遍历：’…/…//’
CWE-40 路径遍历：’\\UNC\share\name\'(WindowsUNC共享)
CWE-43 路径等价：’filename….’ （多个尾部的点号）
CWE-45 路径等价：’file…name’ （多个内部的点号）
CWE-46 路径等价：’filename'(结尾空格)
CWE-47 路径等价：’filename'(开头空格)
CWE-48 路径等价：’filename'(内部空格)
CWE-49 路径等价：’filename/'(尾部斜杠)
CWE-50 路径等价：’//multiple/leading/slash’
CWE-51 路径等价：’/multiple//internal/slash’
CWE-52 路径等价：’/multiple/trailling/slash//’
CWE-53 路径等价：’\multiple\\internal\backslash’
CWE-54 路径等价：’filedir\'(结尾的反斜杠)
CWE-55 路径等价：’/./’ (单点路径)
CWE-56 路径等价：’filedir*’（通配符）
CWE-57 路径等价：’fakedir/’
CWE-58 路径等价：Windows8.3形式文件名
CWE-72 Apple HFS+交换数据流路径处理不恰当
CWE-773 对活跃文件描述符或句柄丧失索引
CWE-775 缺失文件描述符或句柄在有效生命周期之后的释放处理
CWE-774 不加限制或调节进行文件描述符或句柄的分配
CWE-365 Switch语句中的竞争条件
CWE-368 上下文切换时的竞争条件
CWE-764 关键资源的多重加锁
CWE-765 关键资源的多重解锁
CWE-370 在初始检查后缺失对证书撤销的验证
CWE-105 Structs：缺少验证的表单域
CWE-108 Structs：未经验证的动作表单
CWE-112 XML验证缺失
CWE-130 长度参数不一致性处理不恰当
CWE-141 参数分隔符转义处理不恰当
CWE-142 值分隔符转义处理不恰当
CWE-143 记录分隔符转义处理不恰当
CWE-145 节分隔符转义处理不恰当
CWE-146 表达式/命令分隔符转义处理不恰当
CWE-147 输入终结符转义处理不恰当
CWE-148 输入起始符转义处理不恰当
CWE-149 引号语法转义处理不恰当
CWE-151 注释分隔符转义处理不恰当
CWE-152 宏符号转义处理不恰当
CWE-153 替代符号转义处理不恰当
CWE-154 变量名分隔符转义处理不恰当
CWE-156 空格转义处理不恰当
CWE-157 结对分隔符的净化处理不恰当
CWE-158 空字节或NULL字符转义处理不恰当
CWE-186 过度严格的正则表达式
CWE-553 外部可访问目录中的命令行Shell
CWE-564 SQL注入：Hibernate
CWE-619 数据库游标悬挂（游标注入）
CWE-624 可执行体正则表达式错误
CWE-626 空字节交互错误
CWE-641 文件和其他资源名称限制不恰当
CWE-76 等价特殊元素的转义处理不恰当
CWE-80 Web页面中脚本相关HTML标签转义处理不恰当（基本跨站脚本）
CWE-81 错误消息Web页面中脚本转义处理不恰当
CWE-82 Web页面IMG标签属性中脚本转义处理不恰当
CWE-84 Web页面编码URIScheme转义处理不恰当
CWE-85 双字符XSS操纵
CWE-86 Web页面标识中非法字符转义处理不恰当
CWE-87 替代XSS语法转义处理不恰当
CWE-97 Web页面中服务端引用（SSI）转义处理不恰当
CWE-114 流程控制
CWE-473 PHP参数外部修改
CWE-622 函数挂钩参数的验证不恰当
CWE-177 URL编码处理不恰当（Hex编码）
CWE-231 额外值处理不恰当
CWE-234 未对缺失参数进行处理
CWE-235 对额外参数处理不恰当
CWE-236 对未定义参数处理不恰当
CWE-238 对不完整结构体元素处理不恰当
CWE-239 未能处理不完整的元素
CWE-351 不充分的类型区分
CWE-15 系统设置或配置在外部可控制
CWE-566 通过用户控制SQL主密钥绕过授权机制
CWE-447 在UI中的未实现或未支持特性
CWE-448 UI上的废弃特性
CWE-449 UI执行错误动作
CWE-224 通过候选名称导致的安全相关信息混淆
CWE-194 未预期的符号扩展
CWE-195 有符号至无符号转换错误
CWE-196 无符号至有符号转换错误
CWE-481 错误将比较符号写成赋值符号
CWE-579 J2EE不安全实践：将不可序列化的对象存储在会话中
CWE-683 使用不正确参数次序的函数调用
CWE-685 使用不正确参数个数的函数调用
CWE-688 使用不正确变量或索引作为参数的函数调用
CWE-574 EJB不安全实践：使用同步原语
CWE-575 EJB不安全实践：使用AWT Swing
CWE-576 EJB不安全实践：使用Java I/O
CWE-577 EJB不安全实践：使用套接字
CWE-578 EJB不安全实践：使用类加载器
CWE-608 Structs：动作表单类中存在非私有域
CWE-1084 具有过多文件或数据访问操作的可调用控件元素
CWE-1103 使用依赖于平台的第三方组件
CWE-1009 审计
CWE-1010 验证参与者
CWE-1011 授权参与者
CWE-1012 交叉切割
CWE-1013 加密数据
CWE-1014 识别参与者
CWE-1015 限制访问
CWE-1016 限制暴露
CWE-1017 锁定计算机
CWE-1018 管理用户会话
CWE-1019 输入验证
CWE-1020 验证消息完整性
CWE-291 信任自主报告的IP地址
CWE-836 在认证机制中使用口令哈希代替口令
CWE-782 无充分访问控制条件下暴露IOCTL
CWE-921 在没有访问控制机制中存储敏感数据
CWE-939 自定义URL方案处理程序中的授权不正确
CWE-942 过度许可的跨域白名单
CWE-940 通信信道源的不正确验证
CWE-941 通信信道中错误指定的目的地
CWE-830 从非可信源包含Web功能例程
CWE-793 仅过滤一个特殊元素的单一实例
CWE-794 对特殊元素的多个实例的过滤不完全
CWE-796 仅过滤与一个标记相关的特殊元素
CWE-797 仅在一个绝对路径位置过滤特殊元素
CWE-924 通信信道中传输过程中消息完整性的不正确执行
CWE-1027 OWASP 2017年十大分类A1-注入
CWE-1028 OWASP 2017年十大分类A2-失效的身份认证
CWE-1029 OWASP 2017年十大分类A3-敏感信息泄漏
CWE-1030 OWASP 2017年十大分类A4-XML外部实体(XXE)
CWE-1031 OWASP 2017年十大分类A5-失效的访问控制
CWE-1032 OWASP 2017年十大分类A6-安全配置错误
CWE-1033 OWASP 2017年十大分类A7-跨站脚本(XSS)
CWE-1034 OWASP 2017年十大分类A8-不安全的反序列化
CWE-1035 OWASP 2017年十大分类A9-使用含有已知漏洞的组件
CWE-1036 OWASP 2017年十大分类A10-不足的日志记录和监控
CWE-917 表达式语言语句中使用的特殊元素转义处理不恰当（表达式语言注入）
CWE-1176 低效的CPU计算
CWE-1129 CISQ质量测量-可靠性
CWE-1130 CISQ质量测量-可维护性
CWE-1131 CISQ质量措施-安全
CWE-1132 CISQ质量标准-绩效
CWE-1045 带有虚拟析构函数的父类和没有虚拟析构函数的子类
CWE-1047 具有循环依赖关系的模块
CWE-1056 具有可变参数的可调用控制元素
CWE-1058 具有非最终静态可存储或成员元素的多线程上下文中的可调用控制元素
CWE-1062 父类参考子类
CWE-1069 空异常块
CWE-1079 没有虚析构函数方法的父类
CWE-1082 存在类实例自毁控制元素
CWE-1083 从外部预期的数据管理器组件进行数据访问
CWE-1087 没有虚析构函数的虚拟方法类
CWE-1088 远程资源无超时同步访问
CWE-1097 不带关联比较控制元素的持久可存储数据元素
CWE-1096 在没有正确锁定或同步的情况下创建单实例类实例
CWE-1098 包含指针项但没有正确的复制控件元素的数据元素
CWE-1054 在不必要的深度水平层上调用控制元素
CWE-1055 具体类的多重继承
CWE-1064 包含过多签名参数的可调用控件元素
CWE-1074 继承过深的类
CWE-1075 开关块外部无条件控制流转移
CWE-1080 源代码文件的代码行数过多
CWE-1085 可调用控制元素中的注释代码量过大
CWE-1086 子类过多的类
CWE-1090 包含从另一个类访问成员元素的方法
CWE-1095 循环内循环条件值更新
CWE-1121 McCabe环复杂性过大
CWE-789 未经控制的内存分配
CWE-1042 单例类元素外部的静态成员数据元素
CWE-1043 聚合大量非原始元素的元素
CWE-1046 使用字符串连接创建不可变文本
CWE-1049 大数据表中的数据查询操作过多
CWE-1050 循环内过多的平台资源消耗
CWE-1057 预期的数据管理组件之外的数据访问操作
CWE-1060 无效的服务器端数据访问次数过多
CWE-1063 在静态代码块中创建类实例
CWE-1067 对数据资源进行顺序搜索的过度执行
CWE-1072 不使用连接池访问数据资源
CWE-1073 使用过多的非SQL调用控制组件进行数据资源访问
CWE-1089 索引过多的大数据表
CWE-1091 在不调用析构函数方法的情况下使用对象
CWE-1094 数据资源的索引范围扫描过大
CWE-1134 SEI CERT Oracle Java安全编码标准-准则00.输入验证和数据清理（IDS）
CWE-1135 SEI CERT Oracle Java安全编码标准-准则01.声明和初始化（DCL）
CWE-1136 SEI CERT Oracle Java安全编码标准-准则02.表达式（EXP）
CWE-1138 SEI CERT Oracle Java安全编码标准-准则04.字符和字符串（STR）
CWE-1139 SEI CERT Oracle Java安全编码标准-准则05.对象方向（OBJ）
CWE-1140 SEI CERT Oracle Java安全编码标准-指南06.方法（MET）
CWE-1141 SEI CERT Oracle Java安全编码标准-准则07.异常行为（ERR）
CWE-1142 SEI CERT Oracle Java安全编码标准-准则08.可见性和原子性（VNA）
CWE-1143 SEI CERT Oracle Java安全编码标准-指南09.锁定（LCK）
CWE-1144 SEI CERT Oracle Java安全编码标准-准则10.线程API（THI）
CWE-1145 SEI CERT Oracle Java安全编码标准-准则11.线程池（TPS）
CWE-1146 SEI CERT Oracle Java安全编码标准-准则12.线程安全杂项（TSM）
CWE-1147 SEI CERT Oracle Java安全编码标准-准则13.输入输出（FIO）
CWE-1148 SEI CERT Oracle Java安全编码标准-准则14.序列化（SER）
CWE-1149 SEI CERT Oracle Java安全编码标准-准则15.平台安全性（SEC）
CWE-1150 SEI CERT Oracle Java安全编码标准-准则16.运行时环境（ENV）
CWE-1151 SEI CERT Oracle Java安全编码标准-准则17.Java本机接口（JNI）
CWE-1152 SEI CERT Oracle Java安全编码标准-准则49.其他（MSC）
CWE-1153 SEI CERT Oracle Java安全编码标准-准则50.安卓（DRD）
CWE-1175 SEI CERT Oracle Java安全编码标准-准则18.并发性（CON）
CWE-1155 SEI CERT C编码标准-准则01.预处理程序（PRE）
CWE-1156 SEI CERT C编码标准-准则02.声明和初始化（DCL）
CWE-1157 SEI CERT C编码标准-准则03.表达式（EXP）
CWE-1160 SEI CERT C编码标准-准则06.数组（ARR）
CWE-1161 SEI CERT C编码标准-准则07.字符和字符串（STR）
CWE-1162 SEI CERT C编码标准-准则08.内存管理（MEM）
CWE-1163 SEI CERT C编码标准-准则09.输入输出（FIO）
CWE-1165 SEI CERT C编码标准-准则10.环境（ENV）
CWE-1166 SEI CERT C编码标准-准则11.信号（SIG）
CWE-1167 SEI CERT C编码标准-准则12.错误处理（ERR）
CWE-1168 SEI CERT C编码标准-准则13.应用程序编程接口（API）
CWE-1169 SEI CERT C编码标准-准则14.并发性（CON）
CWE-1170 SEI CERT C编码标准-准则48.其他（MSC）
CWE-1171 SEI CERT C编码标准-准则50.POSIX（POS）
CWE-1172 SEI CERT C编码标准-准则51. Microsoft Windows（WIN）
CWE-843 使用不兼容类型访问资源（类型混淆）
CWE-1179 SEI CERT Perl编码标准-指南01.输入验证和数据消毒（IDS）
CWE-1180 SEI CERT Perl编码标准-准则02.声明和初始化（DCL）
CWE-1181 SEI CERT Perl编码标准-准则03.表达式（EXP）http://vulsee.com
CWE-1182 SEI CERT Perl编码标准-准则04.整数（INT）
CWE-1183 SEI CERT Perl编码标准-准则05.字符串（STR）
CWE-1184 SEI CERT Perl编码标准-指南06.面向对象编程（OOP）
CWE-1185 SEI CERT Perl编码标准-准则07.文件输入和输出（FIO）
CWE-1186 SEI CERT Perl编码标准-准则50.其他（MSC）