La debolezza Organizzazione comune Enumeration ha raccolto un elenco dei 25 la maggior parte degli errori software pericolosi, che consiste dei più deboli e le vulnerabilità critiche diffuse e nel software.
In un certo numero di casi prevalenti, queste debolezze sono facili da trovare e sfruttare, i ricercatori dicono, e potrebbe portare a diversi risultati.
"Il CWE Top 25 è una risorsa della comunità che può essere utilizzato dagli sviluppatori di software, software tester, i clienti di software, project manager software, ricercatori di sicurezza, e gli educatori per fornire insight in alcune delle maggior parte delle minacce alla sicurezza prevalenti nel settore del software,”I creatori della lista hanno notato.
Come era la lista dei 25 la maggior parte dei punti deboli del software pericolosi creati
I ricercatori hanno utilizzato un approccio basato sui dati utilizzando i dati pubblicati dalla CVE (Common Vulnerabilities and Exposures) organizzazioni, così come le mappature CWE relativi tratti dal NIST (National Institute of Standards and Technology). Per determinare la prevalenza e il pericolo di ogni debolezza, formula specifica è stata utilizzata:
Il 2019 CWE Top 25 è stato sviluppato da ottenere dati vulnerabilità CVE pubblicati trovati all'interno del NVD [National Vulnerability Database]. Il NVD ottiene i dati di vulnerabilità da CVE e quindi integra questi dati con ulteriori analisi e dati per fornire ulteriori informazioni sulle vulnerabilità. Oltre a fornire la debolezza di fondo per ogni vulnerabilità, il NVD fornisce un punteggio CVSS, che è un punteggio numerico che rappresenta la potenziale gravità di una vulnerabilità basata su un insieme standardizzato di caratteristiche di vulnerabilità. NVD fornisce queste informazioni in un formato digeribile che aiuta a guidare l'approccio guidato dei dati nella creazione del CWE Top 25.
Questa formula è un approccio oggettivo verso le vulnerabilità e il loro impatto in natura, e crea anche una solida base sulla vulnerabilità segnalate pubblicamente.
Senza ulteriori, ecco la lista dei top 25 la maggior parte delle debolezze pericolose nel software:
[1] CWE-119
Restrizione improprio delle operazioni entro i limiti di un buffer di memoria
[2] CWE-79
La neutralizzazione improprio di ingresso durante la pagina Web Generation ('Cross Site Scripting')
[3] CWE-20
Input Validation improprio
[4] CWE-200
Esposizione Informazioni
[5] CWE-125
Out-of-bounds Leggi
[6] CWE-89
La neutralizzazione improprio di elementi speciali utilizzati in un comando SQL ('SQL Injection') 24.54
[7] CWE-416
Uso Dopo libero
[8] CWE-190
Integer Overflow o avvolgente
[9] CWE-352
Cross-Site Request Forgery (CSRF)
[10] CWE-22
Limitazione improprio di un percorso ad una directory con restrizioni (‘Percorso Traversal’)
[11] CWE-78
La neutralizzazione improprio di elementi speciali utilizzati in un comando operativo (‘Iniezione OS Comando’)
[12] CWE-787
Out-of-bounds scrittura
[13] CWE-287
autenticazione improprio
[14] CWE-476
NULL Puntatore alla risoluzione del riferimento
[15] CWE-732
Assegnazione Il permesso non corretto per Critical Resource
[16] CWE-434
Unrestricted Upload di file con il tipo pericoloso
[17] CWE-611
Restrizione improprio di XML esterno Entità di Riferimento
[18] CWE-94
Improprio controllo della generazione del codice (‘Codice di iniezione’)
[19] CWE-798
L'utilizzo di credenziali hard-coded
[20] CWE-400
Consumo incontrollato delle risorse
[21] CWE-772
Manca rilascio di risorse dopo Efficace a vita
[22] CWE-426
Percorso di ricerca non attendibile
[23] CWE-502
Deserializzazione di non attendibile dei dati
[24] CWE-269
La gestione dei privilegi improprio
[25] CWE-295
Convalida certificato improprio
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: