Представители организации MITRE представили обновленный список из 25 наиболее опасных проблем и недочетов в ПО, которые в итоге могут приводить к возникновению уязвимостей и использоваться злоумышленниками для взлома систем.
На этот раз топ-25 был составлен на основе собственных данных MITRE, информации из базы NVD (National Vulnerability Database), а также CVSS. Ранее список строился на основании опросов и личных интервью с разработчиками, ведущими аналитиками безопасности, исследователями и вендорами. Проблемы в этом списке имеют собственные идентификаторы CWE (не путать с CVE) — Common Weakness Enumeration. CWE отличаются от CVE тем, что, по сути, первые являются предшественниками вторых, то есть CWE приводят к появлению непосредственно уязвимостей.
CWE делятся более чем на 600 категорий, и в этом году список пополнился CWE, которые объединяют в себе весьма обширные классы разнообразных проблем, например, CWE-20 (некорректная проверка вводимых данных), CWE- 200 (раскрытие информации) и CWE-287 (некорректная аутентификация).
Топ-10 обозначенных специалистами MITRE проблем можно увидеть в таблице ниже. Баллы присваивались проблемам исходя из того, как часто CWE служит отправной точкой для появления фактической уязвимости, а также серьезности от ее потенциальной эксплуатации.
№ | ID | Проблема | Балл |
1 | CWE-119 | Некорректное ограничение операций в пределах буфера памяти | 75.56 |
2 | CWE-79 | Некорректная нейтрализация вводимых данных при генерации веб-страниц (XSS) | 45.69 |
3 | CWE-20 | Некорректная проверка вводимых данных | 43.61 |
4 | CWE-200 | Раскрытие информации | 32.12 |
5 | CWE-125 | Чтение за пределами буфера | 26.53 |
6 | CWE-89 | Некорректная нейтрализация специальных элементов SQL-команд (SQL-инъекции) | 24.54 |
7 | CWE-416 | Use After Free | 17.94 |
8 | CWE-190 | Целочисленное переполнение или циклический сдвиг | 17.35 |
8 | CWE-352 | CSRF (Cross-Site Request Forgery) | 15.54 |
10 | CWE-22 | Path Traversal | 14.10 |
По сравнению 2011 годом, в этом году новые проблемы составляют примерно треть списка. Но большинство угроз, актуальных тогда, по-прежнему опасны и сейчас. Например, среди них неограниченная загрузка файлов опасных типов (CWE-434), SQL-инъекции (CWE-89) и инъекции команд (CWE-78). Но стоит заметить, что многие старые участники топа угроз все же заметно теряют свои позиции: SQL-инъекции стали менее распространены и опустились с первого места на шестое место; использование жестко закодированных учетных данных, CWE-798, и вовсе опустилось с седьмого места на девятнадцатое, по сравнению с 2011 годом.
Comments are closed.