1)
CWE­89
: Neutralização incorreta de elementos especiais usados em comandos
SQL (SQL Injection)
Explicação: Não é feita uma validação da entrada de dados ou é feita de maneira incorreta, permitindo que comandos SQL sejam modificados para atingir objetivo contrário ao qual foi programado.
Conseqüência: Pode permitir acesso a dados confidenciais e ou modificações.
Através de comandos SQL seria possível obter acesso indevido.
Dicas para mitigar a vulnerabilidade:
1 – Validar a entrada de dados na aplicação;
2 – Utilizar bibliotecas que corrijam esta vulnerabilidade;
3 – Utilizar ferramentas de correção de código fonte para corrigir o código;
Referência: http://cwe.mitre.org/data/definitions/89.html
2) CWE­78: Neutralização incorreta de elementos especiais usados em comandos do sistema operacional (Command Injection OS)
Explicação: A aplicação permite executar comandos do sistema operacional, em entradas da aplicação.
Conseqüência: Modificar comandos da aplicação e a execução de ações maliciosas via comando, como acessar e modificar arquivos.
Dicas para mitigar a vulnerabilidade:
1– Validar a entrada de dados na aplicação;
2 – Utilizar ferramentas de correção de código fonte para corrigir o código;
3 – Validar a entrada de dados no servidor;
Referência: http://cwe.mitre.org/data/definitions/78.html
3)
CWE­120: Cópia de Buffer sem verificar o tamanho da entrada de dados
Explicação:
O programa copia um buffer de entrada para uma memória intermédia de saída sem ter verificado que o tamanho do buffer de entrada é menor do que o tamanho da memória intermédia de saída, que conduz a um excesso do buffer.
Conseqüência: Pode influir na disponibilidade da aplicação ou sistema, tornando o lento ou inoperante.
Dicas para mitigar a vulnerabilidade:
1 ­ Utilizar ferramentas de análise estática

2 ­ Análise manual pode ser útil para encontrar essa fraqueza
3 ­ Esta fraqueza pode ser detectada usando ferramentas dinâmicas e técnicas que