2020-09-08 16:53:2910090人阅读
最近,Mitre发布了2020年最危险的25个软件漏洞;该列表明确列出了CWE Top 25(2019)中遇到的最流行和最具影响力的漏洞。
安全专家断言,这些软件漏洞很危险,因为它们通常很容易被发现及利用。此外,这些漏洞使攻击者可以完全劫持系统、窃取数据或停止应用程序的运行。
CWE top 25是一个有价值的信息资源,它将帮助开发人员、研究人员以及用户保护其业务。此外,CWE可以渗透到最严重和最新的安全漏洞。
25个最危险的软件漏洞
分析报告
今年的CWE排名前25名名单已将其做了对比,合理安排顺序。虽然一些类别的漏洞仍然存在于列表中,但是这些漏洞在排名中已下降。
安全研究人员申明,这一行动将继续下去,因为每年都会有更先进和危险的漏洞出现。
如果我们合理的排列顺序,则可以认识到不同类别的漏洞,例如CWE-119(在内存缓冲区范围内对操作的不适当限制),CWE-20(错误输入验证)和CWE- 200(向未经授权的攻击者暴露敏感信息)都向下移动了一些位置。
另一方面,例如CWE-79(网页生成过程中输入的不正确中和),CWE-787(越界写入)和CWE-125(越界读取)被移到了最前面。
除了这种漏洞之外,还有另一个特定的移动映射的结果,CWE-772(有效生命周期后资源丢失释放)在列表中排在第21位。正如我们所说的那样,这一行动将继续下去,并且每年都会引入新的具体漏洞。
与身份验证和授权相关的漏洞
列表中最重要的与身份验证和授权相关的四个主要漏洞,下面将进行介绍:
· CWE-522(凭据保护不足):从27到18
· CWE-306(关键功能缺少认证):从36到24
· CWE-862(缺少授权):从34到25
· CWE-863(错误授权):从33到29
方法
这个新列表非常专业,因为它是通过从NVD获取所有已发布的漏洞数据而开发的。NVD从CVE获取这些漏洞数据,然后扩展这些漏洞以及其他分析和信息。
此信息包括到一个或多个漏洞的映射,同时包括CVSS评分,CVSS评分是一个数字评分,概述了所有这些漏洞的可能严重程度,这些漏洞通常基于与漏洞有关的一组受管制的功能。
此外,与2018年和2019年的榜单相比,今年的榜单更具影响力。然而,为了确定CWE的频率,评分公式决定了CWE映射到NVD的CVE的次数。