Типы уязвимостей CWE — классификация по БДУ ФСТЭК
Каталог типов уязвимостей CWE
Отсортированы по количеству уязвимостей в реестре БДУ ФСТЭК. Нажмите на карточку для просмотра списка.
Переполнение буфера
Программа выполняет операции с буфером без проверки границ. Классическая уязвимость, приводящая к выполнению кода.
Недостаточная проверка ввода
Программа не проверяет или неправильно проверяет входные данные. Базовая причина большинства инъекций и переполнений.
Использование после освобождения памяти
Обращение к памяти после её освобождения. Может привести к выполнению произвольного кода.
Межсайтовый скриптинг (XSS)
Позволяет внедрить вредоносный JavaScript-код в веб-страницу, который выполнится в браузере жертвы. Приводит к краже cookies, перенаправлению, подмене контента.
Тип уязвимости CWE-264
Уязвимости классифицированные как CWE-264 по каталогу Common Weakness Enumeration (MITRE).
Запись за границы буфера
Программа записывает данные за пределы выделенного буфера. Может привести к выполнению произвольного кода или отказу в обслуживании.
Чтение за границы буфера
Программа читает данные за пределами буфера. Может привести к утечке конфиденциальной информации из памяти.
Раскрытие информации
Программа непреднамеренно раскрывает конфиденциальные данные: стек вызовов, пути, credentials.
Разыменование нулевого указателя
Обращение к нулевому указателю. Приводит к аварийному завершению программы (DoS).
Тип уязвимости CWE-284
Уязвимости классифицированные как CWE-284 по каталогу Common Weakness Enumeration (MITRE).
Тип уязвимости CWE-121
Уязвимости классифицированные как CWE-121 по каталогу Common Weakness Enumeration (MITRE).
Классическое переполнение буфера
Копирование данных без проверки размера. Классическая уязвимость C/C++ приложений.
Внедрение команд ОС
Позволяет выполнять произвольные команды операционной системы через пользовательский ввод.
Повышение привилегий
Позволяет получить более высокий уровень доступа, чем предусмотрен. Приводит к полному контролю над системой.
Внедрение команд
Позволяет выполнять произвольные команды через управляющие строки.
Переполнение буфера кучи
Переполнение буфера в динамически выделенной памяти (куче). Приводит к выполнению произвольного кода.
Состояние гонки
Параллельный доступ к ресурсу без синхронизации. Может привести к повышению привилегий или повреждению данных.
Тип уязвимости CWE-399
Уязвимости классифицированные как CWE-399 по каталогу Common Weakness Enumeration (MITRE).
Внедрение кода
Позволяет внедрить и выполнить произвольный код на стороне сервера.
Неконтролируемое потребление ресурсов
Программа не ограничивает потребление CPU/RAM/диска. Приводит к отказу в обслуживании (DoS).
Обход каталогов
Позволяет получить доступ к файлам за пределами разрешённой директории через ../ последовательности.
Тип уязвимости CWE-189
Уязвимости классифицированные как CWE-189 по каталогу Common Weakness Enumeration (MITRE).
SQL-инъекция
Позволяет внедрить SQL-команды через пользовательский ввод. Приводит к несанкционированному доступу к базе данных, утечке и модификации данных.
Целочисленное переполнение
Арифметическая операция приводит к значению за пределами типа. Может вызвать переполнение буфера или логические ошибки.
Некорректная аутентификация
Механизм аутентификации можно обойти или он неправильно реализован. Позволяет несанкционированный доступ.
Утечка памяти
Программа не освобождает выделенную память. Приводит к деградации производительности и DoS.
Тип уязвимости CWE-404
Уязвимости классифицированные как CWE-404 по каталогу Common Weakness Enumeration (MITRE).
Тип уязвимости CWE-17
Уязвимости классифицированные как CWE-17 по каталогу Common Weakness Enumeration (MITRE).
Десериализация недоверенных данных
Десериализация данных из ненадёжного источника. Может привести к выполнению произвольного кода.
Тип уязвимости CWE-770
Уязвимости классифицированные как CWE-770 по каталогу Common Weakness Enumeration (MITRE).
Что такое CWE и как классифицировать уязвимости
CWE (Common Weakness Enumeration) — международный каталог типов программных уязвимостей, поддерживаемый организацией MITRE. Каждый тип уязвимости получает уникальный идентификатор (CWE-79, CWE-89 и т.д.) и описание паттерна ошибки, который приводит к уязвимости.
В реестре БДУ ФСТЭК каждая уязвимость содержит привязку к одному или нескольким CWE-идентификаторам. Это позволяет анализировать не только отдельные уязвимости, но и системные паттерны: какие типы ошибок преобладают в используемом ПО, какие меры защиты нужны в первую очередь.
Классификация CWE связана с OWASP Top 10 — рейтингом критических рисков веб-приложений. Каждая категория OWASP покрывает несколько CWE. Например, A03:2021 Injection включает CWE-79 (XSS), CWE-89 (SQLi), CWE-78 (Command Injection).
При построении модели угроз по методике ФСТЭК анализ CWE-профиля инфраструктуры помогает определить актуальные угрозы из каталога УБИ и подобрать меры защиты.
Узнайте уязвимости вашего ПО за 1 минуту
Укажите продукты вашей инфраструктуры — получите отчёт: количество уязвимостей в БДУ ФСТЭК, SLA по приказу №117, приоритеты устранения
Не знаете какое ПО установлено? Автоматическая инвентаризация →
Отслеживайте уязвимости по типам CWE автоматически
КиберОснова SGRC: мониторинг БДУ ФСТЭК, CWE-аналитика, SLA по приказу №117 — в одной платформе.