Den fælles Svaghed Optælling organisation har samlet en liste over de 25 de fleste farlige softwarefejl, bestående af de mest udbredte og kritiske svagheder og sårbarheder i software.
I en fremherskende antal tilfælde, disse svagheder er lette at finde og udnytte, siger forskerne, og kan føre til forskellige udfald.
"Den CWE toppen 25 er et fællesskab ressource, der kan bruges af softwareudviklere, softwaretestere, software kunder, software projektledere, sikkerhedseksperter, og pædagoger til at give indsigt i nogle af de mest udbredte sikkerhedstrusler i software-industrien,”Skaberne af listen bemærkede.
Hvordan var på listen over 25 de fleste farlige software svagheder skabt
Forskerne brugte en datastyret tilgang udnytte de data offentliggjort af CVE (Common Vulnerabilities and Exposures) organisationer, samt relaterede SLAGTEKROPÆKVIVALENT tilknytninger taget fra NIST (National Institute of Standards and Technology). At bestemme prævalensen og faren for hver svaghed, en specifik formel blev anvendt:
Den 2019 CWE Top 25 blev udviklet ved at opnå offentliggjorte CVE sårbarhed data fundet i NVD [National Vulnerability Database]. Den NVD opnår sårbarhed data fra CVE og derefter supplerer disse data med yderligere analyser og data til at give flere oplysninger om sårbarheder. Ud over at give den underliggende svaghed for hver sårbarhed, NVD giver en CVSS score, som er en numerisk score angiver dets potentielle sværhedsgraden af en sårbarhed baseret på en standardiseret sæt af karakteristika om sårbarheden. NVD giver denne information i en fordøjelig format, der hjælper med at drive data tilgang i at skabe CWE toppen 25.
Denne formel er en objektiv tilgang til svagheder og deres virkninger i naturen, og det skaber også en stærk basis på offentligt rapporterede sårbarheder.
Uden videre, her er en liste over top 25 de fleste farlige svagheder i software:
[1] CWE-119
Forkert Begrænsning af Operationer inden for rammerne af en Memory Buffer
[2] CWE-79
Forkert Neutralisering af Input Under webside Generation (’Cross-site scripting’)
[3] CWE-20
Forkert Input Validering
[4] CWE-200
Information Eksponering
[5] CWE-125
Out-of-bounds Læs
[6] CWE-89
Forkert Neutralisering af specielle elementer anvendt i en SQL-kommando (’SQL Injection’) 24.54
[7] CWE-416
Use after free
[8] CWE-190
Heltaloverflow eller Wraparound
[9] CWE-352
Cross-Site Request Forgery (CSRF)
[10] CWE-22
Forkert Begrænsning af en sti til en Begrænset Register (’Mappegennemløb’)
[11] CWE-78
Forkert Neutralisering af specielle elementer anvendes i et OS Kommando (’OS Command Injection’)
[12] CWE-787
Out-of-bounds Write
[13] CWE-287
Forkert Authentication
[14] CWE-476
NULL pointerdereference
[15] CWE-732
Forkert Tilladelse Tildeling til kritisk ressource
[16] CWE-434
Ubegrænset upload af fil med Dangerous Type
[17] CWE-611
Forkert Begrænsning af eksterne XML-enheder reference
[18] CWE-94
Forkert Kontrol af Generation of Code (’Code Injection’)
[19] CWE-798
Anvendelse af Hard-kodede legitimationsoplysninger
[20] CWE-400
Ukontrolleret Ressource Forbrug
[21] CWE-772
Manglende Frigivelse af Resource efter Effektiv Lifetime
[22] CWE-426
Der ikke er tillid Søg Sti
[23] CWE-502
Deserialization af ikke er tillid til data
[24] CWE-269
Forkert Privilege Management
[25] CWE-295
Forkert certifikat validering