root@hacklab:~$
[]
ONLINE

CWE / CAPEC

Objetivo Técnico

CWE classifica fraquezas de software e configuração. CAPEC classifica padrões de ataque. Use CWE para nomear a causa técnica do achado e CAPEC para explicar o padrão de abuso quando isso melhorar a rastreabilidade do relatório.

Checklist Operacional

  1. Mapear CWE pela falha raiz, não pelo payload usado no teste.
  2. Usar CAPEC quando o padrão de ataque ajudar a explicar cadeia, pré-condição ou variação.
  3. Relacionar CWE/CAPEC com evidência reproduzível e impacto validado.
  4. Evitar múltiplos IDs redundantes quando um ID principal representa melhor a causa.
  5. Manter OWASP como baseline de mitigação quando houver cheat sheet aplicável.

Exemplos de Classificação

terminal
IDOR -> CWE-639 Authorization Bypass Through User-Controlled Key
Permissao insuficiente -> CWE-862 Missing Authorization
Command injection -> CWE-78 OS Command Injection
Open redirect -> CWE-601 URL Redirection to Untrusted Site
Log insuficiente -> CWE-778 Insufficient Logging
Exposicao de segredo -> CWE-522 Insufficiently Protected Credentials

Validação e Evidência

  • Explique a fraqueza em termos de controle ausente, controle incorreto ou confiança indevida.
  • Inclua endpoint, objeto, permissão, configuração ou fluxo afetado.
  • Registre o impacto técnico antes de atribuir severidade.
  • Use CAPEC para enriquecer contexto, mas não como substituto de prova de exploração.

Mitigação e Detecção

  • Associar cada CWE a um controle corretivo específico e verificável.
  • Usar OWASP Cheat Sheet Series para detalhar controles quando houver referência aplicável.
  • Em achados internos, complementar CWE com ATT&CK quando houver técnica adversária observável.

Referências Canônicas