5.2 代碼問題

5.2.1 概述

此類漏洞指網絡產品和服務的代碼開發過程中因設計或實現不當而導致的漏洞。

5.2.2 資源管理錯誤

此類漏洞指因對系統資源（如內存、磁盤空間、文件、CPU使用率等）的錯誤管理導致的漏洞。

5.2.3 輸入驗證錯誤

5.2.3.1 概述

此類漏洞指因對輸入的數據缺少正確的驗證而產生的漏洞。

5.2.3.2 緩沖區錯誤

此類漏洞指在內存上執行操作時，因缺少正確的邊界數據驗證，導致在其向關聯的其他內存位置上執行了錯誤的讀寫操作，如緩沖區溢出、堆溢出等。

5.2.3.3 注入

5.2.3.3.1 概述

此類漏洞指在通過用戶輸入構造命令、數據結構或記錄的操作過程中，由于缺乏對用戶輸入數據的正確驗證，導致未過濾或未正確過濾掉其中的特殊元素，引發的解析或解釋方式錯誤問題。

5.2.3.3.2 格式化字符串錯誤

此類漏洞指接收外部格式化字符串作為參數時，因參數類型、數量等過濾不嚴格，導致的漏洞。

5.2.3.3.3 跨站腳本

此類漏洞是指在WEB應用中，因缺少對客戶端數據的正確驗證，導致向其他客戶端提供錯誤執行代碼的漏洞。

5.2.3.3.4 命令注入

此類漏洞指在構造可執行命令過程中，因未正確過濾其中的特殊元素，導致生成了錯誤的可執行命令。

5.2.3.3.5代碼注入

此類漏洞指在通過外部輸入數據構造代碼段的過程中，因未正確過濾其中的特殊元素，導致生成了錯誤的代碼段，修改了網絡產品和服務的預期的執行控制流。

5.2.3.3.6 SQL注入

此類漏洞指在基于數據庫的應用中，因缺少對構成SQL語句的外部輸入數據的驗證，導致生成并執行了錯誤的SQL語句。

5.2.3.4 路徑遍歷

此類漏洞指因未能正確地過濾資源或文件路徑中的特殊元素，導致訪問受限目錄之外的位置。

5.2.3.5 后置鏈接

此類漏洞指在使用文件名訪問文件時，因未正確過濾表示非預期資源的鏈接或者快捷方式的文件名，導致訪問了錯誤的文件路徑。

5.2.3.6 跨站請求偽造

此類漏洞指在WEB應用中，因未充分驗證請求是否來自可信用戶，導致受欺騙的客戶端向服務器發送非預期的請求。

5.2.4 數字錯誤

此類漏洞指因未正確計算或轉換所產生數字，導致的整數溢出、符號錯誤等漏洞。

5.2.5 競爭條件問題

此類漏洞指因在并發運行環境中，一段并發代碼需要互斥地訪問共享資源時，因另一段代碼在同一個時間窗口可以并發修改共享資源而導致的安全問題。

5.2.6 處理邏輯錯誤

此類漏洞是在設計實現過程中，因處理邏輯實現問題或分支覆蓋不全面等原因造成。

5.2.7 加密問題

此類漏洞指未正確使用相關密碼算法，導致的內容未正確加密、弱加密、明文存儲敏感信息等問題。

5.2.8 授權問題

5.2.8.1 信任管理問題

此類漏洞是因缺乏有效的信任管理機制，導致受影響組件存在可被攻擊者利用的默認密碼或者硬編碼密碼、硬編碼證書等問題。

5.2.8.2 權限許可和訪問控制問題

此類漏洞指因缺乏有效的權限許可和訪問控制措施而導致的安全問題。

5.2.9 數據轉換問題

此類漏洞是指程序處理上下文因對數據類型、編碼、格式、含義等理解不一致導致的安全問題。

5.2.10 未聲明功能

此類漏洞指通過測試接口、調試接口等可執行非授權功能導致的安全問題。例如，若測試命令或調試命令在使用階段仍可用，則可被攻擊者用于顯示存儲器內容或執行其他功能。