CWE Top25漏洞榜单发布，跨站脚本跃居榜首

近日，在CWE(通用漏洞枚举)最新发布的2020年25种最危险软件漏洞榜单中，跨站脚本（XSS）名列榜首（下图）。 

在最新公布的榜单中，跨站脚本（XSS）的威胁评分为46.82。

在描述跨站点脚本（XSS）带来的危险时，CWE写道：“攻击者可以将受害人的机器上的私人信息（例如可能包含会话信息的Cookie）从受害人的计算机传输到攻击者。攻击者代表受害者可以向网络发送恶意请求，如果受害者拥有站点的管理员权限，则将对站点构成重大威胁。”

“网络钓鱼攻击可以用来模仿受信任的网站，并诱使受害者输入密码，从而使攻击者可以窃取该网站上的受害者账户。最后，该脚本可以利用Web浏览器本身的漏洞，可能接管受害者的机器，有时也称为‘路过攻击’。”

相比之下， 2019年的CWE排行榜看上去更加危险。2019年排名第一的软件威胁（对内存缓冲区范围内操作的不当限制）的威胁得分为75.56。该威胁在2020年的榜单排名下滑至第五名。

在2020年榜单的编制中，CWE团队参考了美国国家标准技术研究院（NIST）国家漏洞数据库（NVD）中的常见漏洞和暴露（CVE）数据。该团队还考虑了与每个CVE相关的通用漏洞评分系统（CVSS）分数。

在今年的榜单中，第二大漏洞是“越界写入”。该漏洞的威胁评分为46.16，仅略微低于跨站脚本的得分。

“这些都不是新的风险，那么为什么组织在将代码发布到生产环境之前未能发现这些问题，或者未能保护这些漏洞免受生产环境的攻击？”K2网络安全首席技术官兼联合创始人Jayant Shukla解释道：“因为这些问题通常在测试期间很难发现，有时，仅在不同的应用程序模块交互时才成为问题，这使得它们更难检测。”