1 |
基于堆栈的缓冲区溢出 (CWE-121) |
有两个不同的问题导致内置 Web 服务器缓冲区溢出,致使远程攻击者能够发起 DoS 攻击并执行任意代码。 |
2 |
整数溢出引发缓冲区溢出 (CWE-680) |
整数溢出造成内存被意外分配,进而引发缓冲区溢出。 |
3 |
使用 token 绕开 CSRF 保护机制 (CWE-352) |
可预测的 token 生成机制致使远程攻击者可绕过跨站点请求伪造 (CSRF) 保护机制。 |
4 |
使用已破解或存在风险的加密算法 (CWE-327) |
使用变量可预测的弱加密算法可能导致敏感信息泄露。 |
5 |
信息泄露 (CWE-200) |
攻击者可以在未经授权的情况下通过内置 Web 服务访问敏感信息和用户名。 |
6 |
明文传输用户信息 (CWE-310) |
敏感信息通过某些 Web 应用程序明文传输。 |
7 |
密码安全要求低 (CWE-521) |
密码安全要求低可能导致攻击者暴力访问。 |
8 |
明文存储敏感信息 (CWE-312) |
敏感信息以明文方式存储在配置文件中,致使攻击者可以使用管理员帐户。 |
9 |
拒绝服务攻击 (CWE-400, CWE-941) |
攻击者造成系统过载并导致服务器崩溃,致使 Web 服务暂时停用。 |