A fraqueza comum organização enumeração reuniu uma lista do 25 a maioria dos erros de software perigosas, consistindo dos mais fraquezas e vulnerabilidades generalizadas e críticas no software.
Em um número predominante de casos, essas fraquezas são fáceis de encontrar e explorar, dizem os pesquisadores, e pode levar a vários resultados.
“A CWE Top 25 é um recurso da comunidade que pode ser usado por desenvolvedores de software, testadores de software, clientes de software, gerentes de projeto de software, pesquisadores de segurança, e educadores para fornecer informações sobre alguns dos mais ameaças de segurança predominantes na indústria de software,”Os criadores da lista observou.
Como foi a lista de 25 a maioria dos pontos fracos de software perigosas criadas
Os pesquisadores usaram uma abordagem orientada a dados utilizando os dados publicados pelo CVE (Common Vulnerabilities and Exposures) organizações, bem como mapeamentos CWE relacionados retirados do NIST (Instituto Nacional de Padrões e Tecnologia). Para determinar a prevalência e risco de cada fraqueza, uma fórmula específica foi usada:
o 2019 CWE Top 25 foi desenvolvido através da obtenção de dados CVE publicados encontrados dentro do NVD [National Vulnerability Database]. O NVD obtém dados vulnerabilidade da CVE e depois complementa esses dados com análises adicionais e dados para fornecer mais informações sobre as vulnerabilidades. Além de proporcionar a fraqueza subjacente para cada vulnerabilidade, NVD fornece uma pontuação CVSS, que é uma pontuação numérica representando a gravidade potencial vulnerabilidade de uma base em um conjunto padronizado de características sobre a vulnerabilidade. NVD fornece essas informações em um formato de fácil digestão que ajuda a impulsionar a abordagem orientada dados na criação do CWE Top 25.
Esta fórmula é uma abordagem objectiva em relação vulnerabilidades e o seu impacto no selvagem, e também cria uma forte base sobre vulnerabilidades relatadas publicamente.
Sem mais delongas, aqui está a lista dos top 25 a maioria das deficiências perigosas em software:
[1] CWE-119
Restrição indevida de Operações dentro dos limites de um buffer de memória
[2] CWE-79
Neutralização imprópria de entrada Durante Geração da Página Web (‘Script Cross-site’)
[3] CWE-20
Validação de entrada imprópria
[4] CWE-200
exposição informações
[5] CWE-125
Fora dos limites Leia
[6] CWE-89
Neutralização indevida de elementos especiais usados em um comando SQL ('Injeção SQL') 24.54
[7] CWE-416
Use Depois gratuito
[8] CWE-190
Integer Overflow ou Wraparound
[9] CWE-352
Cross-Site Request Forgery (CSRF)
[10] CWE-22
Limitação imprópria de um caminho para um diretório Restricted (‘Path Traversal’)
[11] CWE-78
Neutralização indevida de elementos especiais usados em um comando OS (‘Injection OS Command’)
[12] CWE-787
Fora dos limites Write
[13] CWE-287
Autenticação inadequada
[14] CWE-476
NULL Não Referência no Apontador
[15] CWE-732
Atribuição de permissão incorreta para Resource Critical
[16] CWE-434
Irrestrita upload de arquivos com tipo perigoso
[17] CWE-611
Restrição indevida de XML externo Entidade de Referência
[18] CWE-94
Controle indevido de Geração de Código (‘Código de injecção’)
[19] CWE-798
Uso de credenciais hard-coded
[20] CWE-400
Consumo descontrolado de recursos
[21] CWE-772
Faltando Liberação de Recursos após Lifetime eficaz
[22] CWE-426
Untrusted Caminho de pesquisa
[23] CWE-502
Deserialization de não confiável de dados
[24] CWE-269
Gestão de Privilégio imprópria
[25] CWE-295
Imprópria Validation Certificate