La faiblesse commune organisation Enumeration a rassemblé une liste des 25 la plupart des erreurs de logiciels dangereux, composé des plus faibles et les vulnérabilités généralisées et critiques dans les logiciels.
Dans un certain nombre de cas fréquents, ces faiblesses sont faciles à trouver et à exploiter, les chercheurs disent, et pourrait conduire à différents résultats.
"Le Top CWE 25 est une ressource communautaire qui peut être utilisé par les développeurs de logiciels, testeurs de logiciels, clients logiciels, les gestionnaires de projet logiciel, les chercheurs en sécurité, et les éducateurs à donner un aperçu de certaines des menaces les plus répandues de sécurité dans l'industrie du logiciel,» Les créateurs de la liste noté.
Comment était la liste des 25 la plupart des faiblesses des logiciels dangereux créés
Les chercheurs ont utilisé une approche axée sur les données en utilisant les données publiées par le CVE (Common Vulnerabilities and Exposures) organisations, ainsi que les correspondances de CWE connexes provenant du NIST (Institut national des normes et de la technologie). Pour déterminer la prévalence et le danger de chaque faiblesse, une formule spécifique a été utilisée:
La 2019 CWE Top 25 a été mis au point en obtenant des données de vulnérabilité CVE publiées trouvés dans le NVD [Base de données nationale de la vulnérabilité]. La données de vulnérabilité de NVD de CVE et complète ensuite ces données avec une analyse et des données pour fournir plus d'informations sur les vulnérabilités. En plus de fournir la faiblesse sous-jacente pour chaque vulnérabilité, le NVD fournit un score CVSS, qui est une valeur numérique représentant la gravité potentielle d'une vulnérabilité sur la base d'un ensemble de caractéristiques normalisées sur la vulnérabilité. NVD fournit ces informations dans un format facile à digérer qui aide à conduire les données approche axée sur la création du Top CWE 25.
Cette formule est une approche objective à la vulnérabilité et leur impact dans la nature, et il crée également une base solide sur les vulnérabilités signalées publiquement.
Sans plus tarder, voici la liste des meilleurs 25 la plupart des faiblesses dangereuses dans les logiciels:
[1] CWE-119
Restriction incorrecte des opérations dans les limites d'un tampon mémoire
[2] CWE-79
Une mauvaise Neutralisation d'entrée Au cours Web Page générée (« Cross-site scripting »)
[3] CWE-20
Validation d'entrée incorrecte
[4] CWE-200
Exposition d'information
[5] CWE-125
Hors des limites du terrain Lire
[6] CWE-89
Une mauvaise Neutralisation des éléments spéciaux utilisés dans une commande SQL (« Injection SQL ») 24.54
[7] CWE-416
Après une utilisation gratuite
[8] CWE-190
Dépassement d'entier ou Wraparound
[9] CWE-352
Cross-Site Request Forgery (CSRF)
[10] CWE-22
Une mauvaise limitation d'un accès restreint à un Pathname Directory (« Chemin Traversal »)
[11] CWE-78
Une mauvaise Neutralisation des éléments spéciaux utilisés dans un OS de commande (« Injection OS Command »)
[12] CWE-787
Hors des limites du terrain écrire
[13] CWE-287
authentification incorrecte
[14] CWE-476
NULL Pointer déréférencement
[15] CWE-732
Affectation d'autorisation incorrecte pour des ressources critiques
[16] CWE-434
Unrestricted Upload de fichier avec le type dangereux
[17] CWE-611
Restriction incorrecte de XML Entité externe Référence
[18] CWE-94
Un mauvais contrôle de la génération de code (« Injection de code »)
[19] CWE-798
Utilisation des pouvoirs codés dur
[20] CWE-400
La consommation de ressources non contrôlée
[21] CWE-772
Manque de ressources après sortie efficace à vie
[22] CWE-426
Untrusted Chemin de recherche
[23] CWE-502
Désérialisation de données non fiable
[24] CWE-269
Gestion des privilèges non conforme
[25] CWE-295
Certificat de validation incorrect