La organización Enumeración debilidad común ha reunido una lista de las 25 la mayoría de los errores de software peligrosos, que consiste en la mayoría de las debilidades y vulnerabilidades generalizadas y críticos en el software.
En un número predominante de los casos, estas debilidades son fáciles de encontrar y explotar, los investigadores dicen, y podría dar lugar a diversos resultados.
"El CWE Top 25 es un recurso comunitario que puede ser utilizado por los desarrolladores de software, probadores de software, los clientes de software, gestores de proyectos de software, los investigadores de seguridad, y educadores para dar una idea de algunas de las mayoría de las amenazas de seguridad que prevalecen en la industria del software,”Los creadores de la lista observaron.
¿Cómo fue la lista de 25 la mayoría de los puntos débiles de software peligrosas creadas
Los investigadores utilizaron un enfoque impulsado por los datos utilizando los datos publicados por el CVE (Vulnerabilidades y Exposiciones Comunes) organizaciones, así como las asignaciones de CWE relacionados tomadas del NIST (Instituto Nacional de Estándares y Tecnología). Para determinar la prevalencia y el peligro de cada debilidad, Se utilizó una fórmula específica:
El 2019 CWE Top 25 fue desarrollado por la obtención de datos de vulnerabilidades CVE publicados se encuentran dentro del NVD [National Vulnerability Database]. El NVD obtiene datos vulnerabilidad de CVE y luego complementa estos datos con análisis y datos adicionales para proporcionar más información acerca de las vulnerabilidades. Además de proporcionar la debilidad subyacente para cada vulnerabilidad, el NVD proporciona una puntuación CVSS, que es una puntuación numérica que representa la posible gravedad de una vulnerabilidad en base a un conjunto estandarizado de características acerca de la vulnerabilidad. NVD proporciona esta información en un formato digerible que ayuda a impulsar el enfoque impulsado por los datos en la creación del CWE Top 25.
Esta fórmula es un enfoque objetivo hacia vulnerabilidades y su impacto en el medio natural, y también crea una base sólida en las vulnerabilidades reportadas públicamente.
Sin más preámbulos, aquí está la lista de la parte superior 25 la mayoría de las debilidades peligrosas en el software:
[1] CWE-119
La restricción indebida de las operaciones dentro de los límites de un búfer de memoria
[2] CWE-79
La neutralización inadecuada de entrada Durante la página Web Generación (‘Cross-site Scripting’)
[3] CWE-20
Validación de entrada inadecuada
[4] CWE-200
información sobre la exposición
[5] CWE-125
Fuera de los límites Leer
[6] CWE-89
La neutralización inadecuada de elementos especiales utilizados en un comando SQL ('Inyección SQL') 24.54
[7] CWE-416
Después de uso gratuito
[8] CWE-190
Desbordamiento de enteros o del cruzado
[9] CWE-352
Cross-Site Request Falsificación (CSRF)
[10] CWE-22
La limitación indebida de una ruta de acceso a un directorio restringido (‘Rutas Transversales’)
[11] CWE-78
La neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo (‘OS inyección de comandos’)
[12] CWE-787
Fuera de los límites de escritura
[13] CWE-287
autenticación inadecuada
[14] CWE-476
NULL de referencia de puntero
[15] CWE-732
Asignación de permisos incorrectos de recursos críticos
[16] CWE-434
Sin restricciones La subida del archivo con el tipo peligroso
[17] CWE-611
La restricción indebida de XML externo Entidad de Referencia
[18] CWE-94
El control inadecuado de Generación de Código (‘Código de inyección’)
[19] CWE-798
El uso de credenciales con código de duro
[20] CWE-400
El consumo de recursos no controlada
[21] CWE-772
Missing La liberación de recursos después de tiempo de vida efectivo
[22] CWE-426
Ruta de búsqueda no confiable
[23] CWE-502
Deserialización de datos no es de confianza
[24] CWE-269
Inadecuada gestión de privilegios
[25] CWE-295
Inadecuada validación de certificados
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: