【活用ガイド】

CWE-264

Category ID:264(Category)

Status: Incomplete

認可・権限・アクセス制御

解説

解説要約

このカテゴリの脆弱性は、アクセス制御に利用される、認可、権限及びその他のセキュリティ機能に関連するものです。

該当するプラットフォーム

言語

全て

被害の緩和策

ソフトウェア内のエンティティにアクセス権限を付与する場合、最小特権の原則を遵守して下さい。

関係性

 

Nature Type ID Name View(s) this relationship pertains to
ChildOf Category 254 Security Features Development Concepts (primary)699
ParentOf Weakness Class 250 Execution with Unnecessary Privileges Development Concepts699
ParentOf Category 265 Privilege / Sandbox Issues Development Concepts (primary)699
ParentOf Category 275 Permission Issues Development Concepts (primary)699
ParentOf Weakness Class 282 Improper Ownership Management Development Concepts (primary)699
ParentOf Weakness Class 284 Access Control (Authorization) Issues Development Concepts (primary)699
ParentOf Weakness Class 286 Incorrect User Management Development Concepts (primary)699
MemberOf View 635 Weaknesses Used by NVD Weaknesses Used by NVD (primary)635
CanAlsoBe Weakness Base 283 Unverified Ownership Research Concepts1000

 

他組織での分類

 

組織名または組織での分類 ノード ID CWEの分類との適合度 分類名
PLOVER Permissions, Privileges, and ACLs

 

関連する攻撃パターン

 

CAPEC-ID 攻撃パターン名 (CAPEC Version 1.5)
5 Analog In-band Switching Signals (aka Blue Boxing)
17 Accessing, Modifying or Executing Executable Files
35 Leverage Executable Code in Nonexecutable Files
58 Restful Privilege Elevation
69 Target Programs with Elevated Privileges
76 Manipulating Input to File System Calls

 

参照

[REF-11] M. Howard and D. LeBlanc. "Writing Secure Code". Chapter 7, "How Tokens, Privileges, SIDs, ACLs, and Processes Relate" Page 218. 2nd Edition. Microsoft. 2002. 

更新履歴

[2011年04月21日]
  2010年10月12日時点のデータを元に更新
[2009年06月29日]
  2009年02月02日時点の下記 URL を元に作成
    http://cwe.mitre.org/data/definitions/264.html


登録日 2011/04/21

最終更新日 2023/04/04