八年来,这是最危险的25个软件漏洞的列表中的第一次收到更新,该更新有望与当前时间相关。
选择条目的依据是与之前的列表相比的客观标准,同时考虑了安全研究人员的报告以及现实世界中的普遍性,严重性和利用情况。
头号新缺陷
现在,列表顶部是一个新漏洞,该位置以前由SQL注入所占据,已经跌至第六位。
“内存缓冲区范围内的操作限制不当”是计算得分最高的威胁的名称,尽管这并不反映其严重性。
“无论与任何利用相关的典型严重程度如何,很少被利用的弱项都不会获得高分。这是有道理的,因为如果开发人员没有犯特定的错误,则该弱项不应在CWE Top 25中突出显示。” -MITRE
SQL注入的平均严重性得分最高,为9.129(十分之一), 因为它极有可能被利用和影响,因为它可以破坏具有敏感数据的数据库。
尽管严重程度平均得分为5.778,但跨站点脚本(XSS)仍然排名第二。这种情况的解释是,利用漏洞的可能性很高,这可能使攻击者能够运行未经授权的代码或命令及其在报告中的普遍性。
“ 输入验证不当 ”在列表中排名第三,严重性得分为7.242。它也极有可能被利用,危害的可能性包括拒绝服务,退出或重新启动易受攻击的应用程序,读取或修改内存以及执行未经授权的代码或命令。
| 秩 | ID | 名称 | 得分 |
|---|---|---|---|
| [1] | CWE-119 | 内存缓冲区范围内的操作限制不当 | 75.56 |
| [2] | CWE-79 | 网页生成过程中输入的不适当中和(“跨站点脚本”) | 45.69 |
| [3] | CWE-20 | 输入验证不正确 | 43.61 |
| [4] | CWE-200 | 信息公开 | 32.12 |
| [5] | CWE-125 | 越界读取 | 26.53 |
| [6] | CWE-89 | SQL命令中使用的特殊元素的不正确中和(“ SQL注入”) | 24.54 |
| [7] | CWE-416 | 免费使用 | 17.94 |
| [8] | CWE-190 | 整数溢出或环绕 | 17.35 |
| [9] | CWE-352 | 跨站请求伪造(CSRF) | 15.54 |
| [10] | CWE-22 | 路径名对受限目录的不正确限制(“路径遍历”) | 14.10 |
| [11] | CWE-78 | 不正确地中和OS命令中使用的特殊元素(“ OS命令注入”) | 11.47 |
| [12] | CWE-787 | 越界写 | 11.08 |
| [13] | CWE-287 | 身份验证不正确 | 10.78 |
| [14] | CWE-476 | 空指针解除引用 | 9.74 |
| [15] | CWE-732 | 关键资源的权限分配不正确 | 6.33 |
| [16] | CWE-434 | 不受限制地上传危险类型的文件 | 5.50 |
| [17] | CWE-611 | XML外部实体参考的限制不当 | 5.48 |
| [18] | CWE-94 | 对代码生成的控制不当(“代码注入”) | 5.36 |
| [19] | CWE-798 | 硬编码凭证的使用 | 5.12 |
| [20] | CWE-400 | 不受控制的资源消耗 | 5.04 |
| [21] | CWE-772 | 有效寿命后缺少资源释放 | 5.04 |
| [22] | CWE-426 | 不可信的搜索路径 | 4.40 |
| [23] | CWE-502 | 不信任数据的反序列化 | 4.30 |
| [24] | CWE-269 | 权限管理不当 | 4.23 |
| [25] | CWE-295 | 证书验证不正确 | 4.06 |
编译此列表是一个数据驱动的过程,该过程依赖于国家漏洞数据库(NVD)中公开报告的漏洞。
美国国土安全部(DHS)美国科学技术局下属的国土安全系统工程和开发(HSSED)负责更新前25个安全漏洞。
更新的目的是帮助提高网络安全弹性。该列表旨在作为指导文档,旨在帮助开发人员在将其发布到市场之前构建更安全的软件。克里斯·莱文迪斯(ChrisLevendis)在今天的博客中说,数据驱动方法反映了现实世界中遇到的问题。
参考:
https://www.dhs.gov/science-and-technology/news/2019/11/26/snapshot-top-25-most-dangerous-software-errors
原文始发于微信公众号(红数位):8年来排名最危险的前25个漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论