Компания MITRE опубликовала сегодня список из 25 наиболее опасных и распространённых "слабых сторон", которые присущи программному обеспечению за последние два года.
К «слабым сторонам» специалисты относят: ошибки, недочеты, уязвимости, которые были обнаружены в архитектуре, коде, реализации, дизайне программного решения, способные подвергнуть системы, на которых ПО выполняется, успешным кибератакам.
Эксперты по информационной безопасности компании MITRE оценивали каждый тип ошибки и «слабого места», учитывая их критичность и распространенность. В качестве основы бралась информация об общих уязвимостях CVE за 2018-19 гг. из Национальной базы данных уязвимостей (NVD), в которой на данный момент насчитывается более 27 тыс. CVE. Также принимались во внимание показатели общей системы оценки уязвимостей CVSS.
В компании MITRE отдельно отметили: «NVD предоставляет эти сведения в удобном формате, который способствует точному и быстрому составлению ТОП-25 ошибок, учитывая все данные.
«Слабые стороны», которые перечислены в рейтинге MITRE 2020 CWE Top, опасны, потому что киберпреступники могут найти их использовать, после чего получить полный контроль над уязвимыми системами, похитить конфиденциальные данные и инициировать отказ в обслуживании (DoS) при условии успешной эксплуатации ошибки.
Представленный компанией MITRE рейтинг создан, чтобы предоставить сообществу в целом представление о наиболее критических и актуальных на сегодняшний день недостатках безопасности современного ПО.
1. CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
2. CWE-787 Out-of-bounds Write
3. CWE-20 Improper Input Validation
4.CWE-125 Out-of-bounds Read
5. CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer
6. CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
7. CWE-200 Exposure of Sensitive Information to an Unauthorized Actor
8. CWE-416 Use After Free
9. CWE-352 Cross-Site Request Forgery (CSRF)
10. CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
11. CWE-190 Integer Overflow or Wraparound
12. CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
13. CWE-476 NULL Pointer Dereference
14. CWE-287 Improper Authentication
15. CWE-434 Unrestricted Upload of File with Dangerous Type
16. CWE-732 Incorrect Permission Assignment for Critical Resource
17. CWE-94 Improper Control of Generation of Code ('Code Injection')
18. CWE-522 Insufficiently Protected Credentials
19. CWE-611 Improper Restriction of XML External Entity Reference
20. CWE-798 Use of Hard-coded Credentials
21. CWE-502 Deserialization of Untrusted Data
22. CWE-269 Improper Privilege Management
23. CWE-400 Uncontrolled Resource Consumption
24. CWE-306 Missing Authentication for Critical Function
25. CWE-862 Missing Authorization
С полной версией отчета компании MITRE можно ознакомиться по следующей ссылке.