压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

MITRE組織公布了2022年CWE最危險的25個軟件弱點

責編:gltian |2022-07-01 13:45:45

MITRE組織分享了2022年最常見和最危險的25個弱點名單,該名單可以幫助企業評估企業基礎設施的安全情況,MITRE表示:“如果企業的基礎設施涉及相關的漏洞弱點,就可能受到未知黑客的攻擊。”
“軟件弱點往往都很容易被針對,并最終會導致可利用漏洞的產品,從而讓對手完全接管系統、竊取數據或讓業務停擺。”MITRE在發布的公告中寫道。
據悉,MITRE綜合過去NIST、NVD數據,結合CVE與NVD的數據庫中的危害性評分,統計了名單列表。
以下是2022年CWE前25個最危險的軟件弱點名單:

排名 ID 名稱 得分 發現漏洞數 與2021年的排名變化
1 CWE-787 越界寫入 64.2 62 0
2 CWE-79 網頁生成過程中不正確地中和輸入 (”跨站腳本”) 45.97 2 0
3 CWE-89 在SQL命令中使用的特殊元素的不當中和(”SQL注入”) 22.11 7 +3
4 CWE-20 不當的輸入驗證 20.63 20 0
5 CWE-125 界外讀取 17.67 1 -2
6 CWE-78 操作系統命令中使用的特殊元素的不當中和(”操作系統命令注入”) 17.53 32 -1
7 CWE-416 內存破壞漏洞 15.50 28 0
8 CWE-22 對受限目錄路徑名的不適當限制 (”路徑穿越”) 14.08 19 0
9 CWE-352 跨站請求偽造(CSRF) 11.53 1 0
10 CWE-434 不受限上傳危險類型的文件 9.56 6 0
11 CWE-476 空指針間接引用 7.15 0 +4
12 CWE-502 不可信數據的反序列化 6.68 7 +1
13 CWE-190 整數溢出或繞行 6.53 2 -1
14 CWE-287 危險認證 6.35 4 0
15 CWE-798 使用硬編碼的憑證 5.66 0 +1
16 CWE-862 缺少授權 5.53 1 +2
17 CWE-77 “命令注入” 5.42 5 +8
18 CWE-306 關鍵功能的認證機制缺失 5.15 6 -7
19 CWE-119 對內存緩沖區范圍內的操作限制不當 4.85 6 -2
20 CWE-276 默認權限不正確 4.84 0 -1
21 CWE-918 服務器端請求偽造(SSRF) 4.27 8 +3
22 CWE-362 使用共享資源的并發執行與不當的同步(”競爭條件”) 3.57 6 +11
23 CWE-400 不受控制的資源消耗 3.56 2 +4
24 CWE-611 對XML外部實體引用的不當限制 3.38 0 -1
25 CWE-94 “代碼注入” 3.32 4 +3

具體來看該榜單的幾個排名變化,有幾個弱點掉出了榜單排名或首次出現在前25名的排名中。

首先榜單上最大的變動是:

CWE-362(使用共享資源的并發執行與不當的同步(“競爭條件”))從第33位上升到第22位;
CWE-94(“代碼注入”)從第28位上升到第25位;
CWE-400(不受控制的資源消耗)從第27位上升到第23位;
CWE-77 (“命令注入”)從第25位上升到第17位;
CWE-476(空指針間接引用)則從第15位上升到第11位。

而下降幅度最大的是:

CWE-306(關鍵功能認證缺失)從第11位降低到第18位;
CWE-200 (將敏感信息暴露給未經授權的行為者)從第20位降低到第33位;
CWE-522(憑證保護不足)從第21位下降到第38位;

最后一個是CWE-732(關鍵資源的權限分配不正確)從第22名降低至第30名。

有三條新進入到前25名的條目,它們是:

CWE-362 (使用共享資源的并發執行與不當的同步(“競爭條件”))從第33位升至第22位:
CWE-94 (“代碼注入”)從第28名上升至第25名
CWE-400 (不受控制的資源消耗)則是從第27名上升到第23名

相對的也有三條條目跌出前25名,它們是:

CWE-200(將敏感信息暴露給未經授權的行為者)從第20位降至第33位;
CWE-522 (憑證保護不足)從第21位降至第38位;
CWE-732(關鍵資源的不正確權限分配)從第22位到第30位。

來源:FreeBuf.COM

上一篇:如何使用Pulsar實現數據過濾和安全通信

下一篇:企業保護 API 安全迫在眉睫