存在哪些类型的软件漏洞？

Question

我在网上搜索了很多，没有找到任何直接回答我问题的东西。存在哪些类型的漏洞。我指的是缓冲区溢出之类的漏洞，而不是XSS或SQLi等。下面是我所知道的存在漏洞的简短列表：

1. 缓冲区溢出(堆栈和堆)
2. 整数溢出
3. 格式字符串漏洞
4. 访问控制问题

有人能在这张单子上加点什么吗？

Answer 1

我认为最能理解软件弱点的字典是共同弱点枚举(中国)。

对于您来说，视图发展概念(CWE-699)可能是一个很好的起点：

这个视图围绕在软件开发中经常使用或遇到的概念来组织弱点。因此，这个视图可以与开发人员、教育者和评估供应商的观点紧密结合。

还有CWE的图形化描述，它显示有向图(如CWE-699的图形描绘 )中弱点的关系.

Answer 2

我认为这个问题太宽泛了，但是OWASP可能是你问的最接近的问题：https://www.owasp.org

他们的“十大”威胁名单：https://www.owasp.org/index.php/Category:OWASP_顶部_十_Project#tab=OWASP_顶部_10_为_2013年

他们的备忘单：https://www.owasp.org/index.php/Cheat_薄片

开发人员指南：https://www.owasp.org/index.php/Guide_表格_的_目录