Представители организации MITRE подготовили обновленный список из 25 наиболее опасных проблем и недочетов в ПО, которые в итоге могут приводить к возникновению уязвимостей и использоваться злоумышленниками для взлома систем.

На этот раз топ-25 был составлен на основе собственных данных MITRE, информации из базы NVD (National Vulnerability Database), а также CVSS. Ранее список строился на основании опросов и личных интервью с разработчиками, ведущими аналитиками безопасности, исследователями и вендорами. Проблемы в этом списке имеют собственные идентификаторы CWE (не путать с CVE) — Common Weakness Enumeration. CWE отличаются от CVE тем, что, по сути, первые являются предшественниками вторых, то есть CWE приводят к появлению непосредственно уязвимостей.

CWE делятся более чем на 600 категорий, и в этом году список пополнился CWE, которые объединяют в себе весьма обширные классы разнообразных проблем, например, CWE-20 (некорректная проверка вводимых данных), CWE- 200 (раскрытие информации) и CWE-287 (некорректная аутентификация).

Топ-10 обозначенных специалистами MITRE проблем можно увидеть в таблице ниже. Баллы присваивались проблемам исходя из того, как часто CWE служит отправной точкой для появления фактической уязвимости, а также серьезности от ее потенциальной эксплуатации.

Место ID Проблема Балл
1 CWE-119 Некорректное ограничение операций в пределах буфера памяти 75.56
2 CWE-79 Некорректная нейтрализация вводимых данных при генерации веб-страниц (XSS) 45.69
3 CWE-20 Некорректная проверка вводимых данных 43.61
4 CWE-200 Раскрытие информации 32.12
5 CWE-125 Чтение за пределами буфера 26.53
6 CWE-89 Некорректная нейтрализация специальных элементов SQL-команд (SQL-инъекции) 24.54
7 CWE-416 Use After Free 17.94
8 CWE-190 Целочисленное переполнение или  циклический сдвиг 17.35
8 CWE-352 CSRF (Cross-Site Request Forgery) 15.54
10 CWE-22 Path Traversal 14.10

 

По сравнению 2011 годом, в этом году новые проблемы составляют примерно треть списка. Но большинство угроз, актуальных тогда, по-прежнему опасны и сейчас. Например, среди них неограниченная загрузка файлов опасных типов (CWE-434), SQL-инъекции (CWE-89) и инъекции команд (CWE-78).  Но стоит заметить, что многие старые участники топа угроз все же заметно теряют свои позиции: SQL-инъекции стали менее распространены и опустились с первого места на шестое место; использование жестко закодированных учетных данных, CWE-798, и вовсе опустилось с седьмого места на девятнадцатое, по сравнению с 2011 годом.

1 комментарий

  1. Аватар

    Diflyrest

    20.09.2019 at 21:31

Оставить мнение