Common Weakness Enumeration組織は、 25 最も危険なソフトウェアエラー, ソフトウェアの最も広範で重大な弱点と脆弱性で構成されています.
流行している多くの場合, これらの弱点は簡単に見つけて悪用できます, 研究者は言う, さまざまな結果につながる可能性があります.
「「CWEトップ 25 ソフトウェア開発者が使用できるコミュニティリソースです, ソフトウェアテスター, ソフトウェアのお客様, ソフトウェアプロジェクトマネージャー, セキュリティ研究者, および教育者は、ソフトウェア業界で最も一般的なセキュリティの脅威のいくつかについて洞察を提供します,」と記載されているリストの作成者.
のリストはどうでしたか 25 作成された最も危険なソフトウェアの弱点
研究者は、CVEによって公開されたデータを利用したデータ駆動型アプローチを使用しました (一般的な脆弱性とエクスポージャー) 組織, NISTから取得した関連するCWEマッピングと同様に (米国国立標準技術研究所). 各弱点の有病率と危険性を判断するには, 特定の式が使用されました:
The 2019 CWEトップ 25 NVD内で見つかった公開されたCVE脆弱性データを取得することによって開発されました [全国脆弱性データベース]. NVDはCVEから脆弱性データを取得し、このデータを追加の分析とデータで補足して、脆弱性に関する詳細情報を提供します. 各脆弱性の根本的な弱点を提供することに加えて, NVDはCVSSスコアを提供します, これは、脆弱性に関する標準化された一連の特性に基づいた、脆弱性の潜在的な重大度を表す数値スコアです。. NVDは、この情報を消化可能な形式で提供し、CWEトップを作成する際のデータ駆動型アプローチを推進するのに役立ちます。 25.
この公式は、脆弱性とその野生への影響に対する客観的なアプローチです。, また、公に報告された脆弱性に基づく強力な基盤を作成します.
難しい話は抜きにして, これがトップのリストです 25 ソフトウェアの最も危険な弱点:
[1] CWE-119
メモリバッファの範囲内での操作の不適切な制限
[2] CWE-79
Webページ生成中の入力の不適切な中和 (「クロスサイトスクリプティング」)
[3] CWE-20
不適切な入力検証
[4] CWE-200
情報公開
[5] CWE-125
範囲外の読み取り
[6] CWE-89
SQLコマンドで使用される特別な要素の不適切な中和 (「SQLインジェクション」) 24.54
[7] CWE-416
無料で使用
[8] CWE-190
整数のオーバーフローまたはラップアラウンド
[9] CWE-352
クロスサイトリクエストフォージェリ (CSRF)
[10] CWE-22
制限されたディレクトリへのパス名の不適切な制限 (「パストラバーサル」)
[11] CWE-78
OSコマンドで使用される特殊要素の不適切な中和 (「OSコマンドインジェクション」)
[12] CWE-787
範囲外の書き込み
[13] CWE-287
不適切な認証
[14] CWE-476
NULLポインター逆参照
[15] CWE-732
重要なリソースに対する誤った権限の割り当て
[16] CWE-434
危険なタイプのファイルの無制限のアップロード
[17] CWE-611
XML外部エンティティ参照の不適切な制限
[18] CWE-94
コード生成の不適切な制御 (「コードインジェクション」)
[19] CWE-798
ハードコードされたクレデンシャルの使用
[20] CWE-400
制御されていないリソース消費
[21] CWE-772
有効な存続期間後のリソースのリリースの欠落
[22] CWE-426
信頼できない検索パス
[23] CWE-502
信頼できないデータの逆シリアル化
[24] CWE-269
不適切な特権管理
[25] CWE-295
不適切な証明書の検証
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: