De Common Weakness Enumeration organisatie heeft een lijst van de verzamelde 25 meest gevaarlijke software fouten, bestaande uit de meest wijdverspreide en kritische zwakke plekken in software.
In een overwegend aantal gevallen, deze zwakke punten zijn gemakkelijk te vinden en te exploiteren, zeggen de onderzoekers, en zou kunnen leiden tot verschillende resultaten.
"De CWE Top 25 is een gemeenschap bron die gebruikt kan worden door software-ontwikkelaars, software testers, software klanten, software project managers, security onderzoekers, en opvoeders om inzicht te geven in enkele van de meest voorkomende bedreigingen van de veiligheid in de software-industrie,”De makers van de lijst genoteerd.
Hoe was de lijst met 25 meest gevaarlijke software zwaktes gecreëerd
De onderzoekers gebruikten een data-driven benadering gebruik te maken van de uitgegeven door de CVE data (Common Vulnerabilities and Exposures) organisaties, alsmede de daarmee samenhangende CWE mappings genomen uit de NIST (National Institute of Standards and Technology). De prevalentie en het gevaar van elke zwakte bepalen, een specifieke formule gebruikt:
Het 2019 CWE Top 25 werd ontwikkeld door het verkrijgen gepubliceerd CVE kwetsbaarheid data gevonden binnen de NVD [National Vulnerability Database]. De NVD verkrijgt kwetsbaarheid gegevens van CVE en vervolgens aanvulling van deze gegevens met aanvullende analyse en gegevens achter voor meer informatie over kwetsbaarheden te verstrekken. Naast het leveren van de onderliggende zwak voor de kwetsbaarheid, de NVD biedt een CVSS score, die een numerieke score die de mogelijke ernst van een kwetsbaarheid basis van een gestandaardiseerde reeks kenmerken over de kwetsbaarheid. NVD biedt deze informatie in een verteerbare formaat, dat helpt drijven de data-driven benadering in het creëren van de CWE Top 25.
Deze formule is een objectieve benadering kwetsbaarheden en de gevolgen het wild, en het creëert ook een sterke basis op openbaar gemelde beveiligingslekken.
Zonder verdere omhaal, Hier is de lijst van de top 25 meest gevaarlijke zwakke plekken in software:
[1] CWE-119
Onjuiste Beperking van de operaties binnen de grenzen van een geheugenbuffer
[2] CWE-79
Onjuiste neutralisatie van Input Tijdens webpagina Generation (‘Cross-site scripting’)
[3] CWE-20
Onjuiste Input Validation
[4] CWE-200
informatie Exposure
[5] CWE-125
Out-of-bounds lezen
[6] CWE-89
Onjuiste neutralisatie van speciale elementen gebruikt in een SQL-commando ('SQL injectie') 24.54
[7] CWE-416
Gebruik Nadat Gratis
[8] CWE-190
Integer of hoes
[9] CWE-352
Cross-site request forgery (CSRF)
[10] CWE-22
Onjuiste Beperking van een pad naar een beperkte Directory (‘Path Traversal’)
[11] CWE-78
Onjuiste neutralisatie van speciale elementen gebruikt in een OS Command (‘OS Command Injection’)
[12] CWE-787
Out-of-bounds Write
[13] CWE-287
Onjuiste Authentication
[14] CWE-476
NULL pointerdereferentie
[15] CWE-732
Onjuiste Toestemming Opdracht voor Critical Resource
[16] CWE-434
Onbeperkt uploaden van het dossier met Dangerous Type
[17] CWE-611
Onjuiste Beperking van XML externe entiteit Reference
[18] CWE-94
Onjuiste Controle van de Generatie van de Code (‘Code Injection’)
[19] CWE-798
Het gebruik van hard-coded Geloofsbrieven
[20] CWE-400
Ongecontroleerde Resource Consumptie
[21] CWE-772
Ontbrekende Vrijgave van Resource na effectieve levensduur
[22] CWE-426
Niet vertrouwd Zoekpad
[23] CWE-502
Deserialisatie van vertrouwde gegevens
[24] CWE-269
Onjuiste Privilege management
[25] CWE-295
Onjuiste Certificaatvalidatie
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: