25 خطای برنامهسازی و برنامهنویسی در این لیست موجود است که هر کدام از آنها در صورت وجود در برنامهها، سیستمهای عامل و سرورها میتواند باعث ایجاد حفرهها و محیطهای آسییبپذیر امنیتی شود.
متخصصان امنیت کامپیوتر معتقدند که برنامهسازان و برنامهنویسان از بیشتر این خطاها آگاه نیستند.
در سال 2008 تنها دو خطا از این لیست باعث ایجاد حفره در 1.5 میلیون وبسایت شد.
بیش از 30 آژانس دولتی و شرکت از جمله مایکروسافت و سیمانتک از انتشار این لیست حمایت کردهاند.
• CWE-20: اعتبار نامناسب دادههای ورودی
• CWE-116: بازکردن و رمز گشایی نامناسب دادههای خروجی
• CWE-89: نگهداری ناموفق ساختارهای جستجوی SQL
• CWE-79: نگهداری ناموفق ساختارهای صفحات وب
• CWE-78: نگهداری ناموفق ساختارهای دستوری سیستم عامل
• CWE-319: ارسال اطلاعات حساس به روش ClearText
• CWE352: جعل اطلاعات به روش Cross-site
• CWE-362: آسیب پذیری Race Condition
• CWE-209: خروج اطلاعات پیغامهای خطا
• CWE-119: ضعف در اجرای دستورات و عملیات در محدوده بافر حافظه
• CWE-642: کنترل خارجی اطلاعات با موقعیت حساس
• CWE-73: کنترل خارجی نام یا محل قرارگیری قابلها
• CWE-94: عدم کنترل بر تولید کدهای برنامه
• CWE-494: دانلود کد بدون عبور از تست Integrity
• CWE-404: نشر یا از کار انداختن نامناسب منابع برنامه
• CWE-665: شروع نامناسب برنامه
• CWE-682: غلط های محاسباتی
• CWE-285: کنترل نامتناسب سطوح دسترسی
• CWE-327: استفاده از الگوریتمهای شکسته شده و یا آسیبپذیر کدگذاری
• CWE-259: استفاده از پسوردهای Hard-coded
• CWE-732: ایجاد دسترسی ناامن برای منابع حساس اطلاعات
• CWE-330: استفاده از مقادیر تصادفی ناکافی
• CWE-250: اجرای دستورات با تخصیص امکانات و امتیازات غیرضروری
• CWE-602: تحت فشار گذاشتن بخش امنیت سرور از سوی کاربران
هکرها و افرادی که به هسته اصلی برنامهها و سرورها نفوذ میکنند با استفاده از عدم آگاهی برنامهنویسان از همین خطاها به هدف خود میرسند.
پیشبینی میشود که در صورت رعایت اصول امنیتی و بررسی این خطاها در برنامهها، دسترسی تعداد زیادی از هکرها به منابع اطلاعاتی حساس غیر ممکن میشود.
این خطاها با توافق کامل شرکتها و موسسات نرمافزار و امنیت منتشر شده است و انتظار میرود که برنامهنویسان با شناخت اینگونه خطاها، نرمافزارهای ایمنتری را طراحی کنند.
