Типы уязвимостей CWE — классификация по БДУ ФСТЭК
Каталог типов уязвимостей CWE
Отсортированы по количеству уязвимостей в реестре БДУ ФСТЭК. Нажмите на карточку для просмотра списка.
Переполнение буфера
Программа выполняет операции с буфером без проверки границ. Классическая уязвимость, приводящая к выполнению кода.
Недостаточная проверка ввода
Программа не проверяет или неправильно проверяет входные данные. Базовая причина большинства инъекций и переполнений.
Использование после освобождения памяти
Обращение к памяти после её освобождения. Может привести к выполнению произвольного кода.
Межсайтовый скриптинг (XSS)
Позволяет внедрить вредоносный JavaScript-код в веб-страницу, который выполнится в браузере жертвы. Приводит к краже cookies, перенаправлению, подмене контента.
Тип уязвимости CWE-264
Уязвимости классифицированные как CWE-264 по каталогу Common Weakness Enumeration (MITRE).
Запись за границы буфера
Программа записывает данные за пределы выделенного буфера. Может привести к выполнению произвольного кода или отказу в обслуживании.
Чтение за границы буфера
Программа читает данные за пределами буфера. Может привести к утечке конфиденциальной информации из памяти.
Раскрытие информации
Программа непреднамеренно раскрывает конфиденциальные данные: стек вызовов, пути, credentials.
Разыменование нулевого указателя
Обращение к нулевому указателю. Приводит к аварийному завершению программы (DoS).
Тип уязвимости CWE-284
Уязвимости классифицированные как CWE-284 по каталогу Common Weakness Enumeration (MITRE).
Тип уязвимости CWE-121
Уязвимости классифицированные как CWE-121 по каталогу Common Weakness Enumeration (MITRE).
Классическое переполнение буфера
Копирование данных без проверки размера. Классическая уязвимость C/C++ приложений.
Внедрение команд ОС
Позволяет выполнять произвольные команды операционной системы через пользовательский ввод.
Повышение привилегий
Позволяет получить более высокий уровень доступа, чем предусмотрен. Приводит к полному контролю над системой.
Внедрение команд
Позволяет выполнять произвольные команды через управляющие строки.
Переполнение буфера кучи
Переполнение буфера в динамически выделенной памяти (куче). Приводит к выполнению произвольного кода.
Состояние гонки
Параллельный доступ к ресурсу без синхронизации. Может привести к повышению привилегий или повреждению данных.
Тип уязвимости CWE-399
Уязвимости классифицированные как CWE-399 по каталогу Common Weakness Enumeration (MITRE).
Внедрение кода
Позволяет внедрить и выполнить произвольный код на стороне сервера.
Утечка памяти
Программа не освобождает выделенную память. Приводит к деградации производительности и DoS.
Неконтролируемое потребление ресурсов
Программа не ограничивает потребление CPU/RAM/диска. Приводит к отказу в обслуживании (DoS).
Обход каталогов
Позволяет получить доступ к файлам за пределами разрешённой директории через ../ последовательности.
Целочисленное переполнение
Арифметическая операция приводит к значению за пределами типа. Может вызвать переполнение буфера или логические ошибки.
SQL-инъекция
Позволяет внедрить SQL-команды через пользовательский ввод. Приводит к несанкционированному доступу к базе данных, утечке и модификации данных.
Тип уязвимости CWE-189
Уязвимости классифицированные как CWE-189 по каталогу Common Weakness Enumeration (MITRE).
Тип уязвимости CWE-404
Уязвимости классифицированные как CWE-404 по каталогу Common Weakness Enumeration (MITRE).
Некорректная аутентификация
Механизм аутентификации можно обойти или он неправильно реализован. Позволяет несанкционированный доступ.
Тип уязвимости CWE-17
Уязвимости классифицированные как CWE-17 по каталогу Common Weakness Enumeration (MITRE).
Десериализация недоверенных данных
Десериализация данных из ненадёжного источника. Может привести к выполнению произвольного кода.
Тип уязвимости CWE-770
Уязвимости классифицированные как CWE-770 по каталогу Common Weakness Enumeration (MITRE).
Что такое CWE и как классифицировать уязвимости
CWE (Common Weakness Enumeration) — международный каталог типов программных уязвимостей, поддерживаемый организацией MITRE. Каждый тип уязвимости получает уникальный идентификатор (CWE-79, CWE-89 и т.д.) и описание паттерна ошибки, который приводит к уязвимости.
В реестре БДУ ФСТЭК каждая уязвимость содержит привязку к одному или нескольким CWE-идентификаторам. Это позволяет анализировать не только отдельные уязвимости, но и системные паттерны: какие типы ошибок преобладают в используемом ПО, какие меры защиты нужны в первую очередь.
Классификация CWE связана с OWASP Top 10 — рейтингом критических рисков веб-приложений. Каждая категория OWASP покрывает несколько CWE. Например, A03:2021 Injection включает CWE-79 (XSS), CWE-89 (SQLi), CWE-78 (Command Injection).
При построении модели угроз по методике ФСТЭК анализ CWE-профиля инфраструктуры помогает определить актуальные угрозы из каталога УБИ и подобрать меры защиты.
Узнайте уязвимости вашего ПО за 1 минуту
Укажите продукты вашей инфраструктуры — получите отчёт: количество уязвимостей в БДУ ФСТЭК, SLA по приказу №117, приоритеты устранения
Не знаете какое ПО установлено? Автоматическая инвентаризация →
Отслеживайте уязвимости по типам CWE автоматически
КиберОснова SGRC: мониторинг БДУ ФСТЭК, CWE-аналитика, SLA по приказу №117 — в одной платформе.