美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)和 國土安全系統(tǒng)工程與開發(fā)研究所(Homeland Security Systems Engineering and Development Institute)發(fā)布了2024 年 CWE 25 大最危險軟件缺陷列表,雖然可能讀起來枯燥乏味��,但對開發(fā)人員來說卻非常重要。
該列表統(tǒng)計了威脅行為者用來竊取數(shù)據(jù)��、破壞服務(wù)以及入侵系統(tǒng)和網(wǎng)絡(luò)的最常利用的軟件缺陷��。
CISA 在一份咨詢意見中說:"我們強(qiáng)烈建議各組織審查這份清單��,并利用它來指導(dǎo)自己的軟件安全戰(zhàn)略�。在開發(fā)和采購過程中優(yōu)先考慮這些弱點�,有助于在軟件生命周期的核心環(huán)節(jié)預(yù)防漏洞。"今年的清單采用了一種新的方法進(jìn)行編制���,因此清單中出現(xiàn)了不少變動�����。
今年的榜單是利用 31770 條 CVE 記錄編制而成的��,其中包括由 275 個不同的 CVE 編號機(jī)構(gòu)創(chuàng)建的 9000 條 CVE 記錄��。然后使用了一個評分公式�,將利用弱點的頻率和弱點的平均嚴(yán)重程度結(jié)合起來。
因此,只有三個弱點保留了原有排名�����,新增了兩個弱點--不受控制的資源消耗和敏感信息暴露給未經(jīng)授權(quán)的行為者�。
總之,這里有一份清單����,基本上是一份軟件開發(fā)人員不應(yīng)該做的事情的清單。
1����、網(wǎng)頁生成過程中輸入的不適當(dāng)中性化("跨站腳本")
去年排名:2
2、越界寫入
去年排名第1
3��、SQL 命令中使用的特殊元素中和不當(dāng)("SQL 注入)
去年排名第3
4����、跨站請求偽造 (CSRF)
去年排名第9
5、對受限目錄的路徑名限制不當(dāng)("路徑遍歷)
去年排名第8
6�����、越界讀取
去年排名第7
7����、操作系統(tǒng)命令中使用的特殊元素中和不當(dāng)("操作系統(tǒng)命令注入")。
去年排名第5
8��、免費(fèi)后使用
去年排名第4
9、缺少授權(quán)
去年排名第11
10����、不受限制地上傳危險類型文件
去年排名第10
11、代碼生成控制不當(dāng)("代碼注入)
去年排名第23
12�、輸入驗證碼錯誤
去年排名第6
13�����、命令中使用的特殊元素的不適當(dāng)中和("命令注入)
去年排名第16
14���、驗證錯誤
去年排名第13
15�����、權(quán)限管理不當(dāng)
去年排名第22
16����、反序列化不受信任的數(shù)據(jù)
去年排名第15
17���、敏感信息暴露給未經(jīng)授權(quán)的訪問者
去年排名第30
18�����、授權(quán)不正確
去年排名第24
19�、服務(wù)器端請求偽造(SSRF)
去年排名第19
20、內(nèi)存緩沖區(qū)范圍內(nèi)操作的不當(dāng)限制
去年排名第17
21����、取消引用 NULL 指針
去年排名第12
22、使用硬編碼憑證
去年排名第18
23�����、整數(shù)溢出或環(huán)繞
去年排名第14
24����、不受控制的資源消耗
去年排名第37
25、關(guān)鍵功能認(rèn)證缺失
去年排名第20
來源:數(shù)世咨詢
在線咨詢
在線咨詢
0371-63319761