2023 年和 2024 年最具威胁的 25 种安全漏洞（CWE Top 25）

以下是 2023 年和 2024 年最具威胁的 25 种安全漏洞（CWE Top 25）的详细介绍。这些漏洞是根据它们对软件安全性的影响和常见性进行排序的。

1. 缓冲区溢出 (CWE-120)

• 描述：程序在写入数据时未对数据长度进行检查，导致写入超过预期的缓冲区。
• 影响：可能导致代码执行、数据泄露或程序崩溃。

2. 代码注入 (CWE-94)

• 描述：攻击者能够注入恶意代码并让程序执行。
• 影响：可能导致系统完全控制、数据篡改和信息泄露。

3. 认证缺失 (CWE-287)

• 描述：应用程序未能正确验证用户身份，允许未授权访问。
• 影响：可以导致敏感数据泄露和权限提升。

4. 访问控制缺失 (CWE-284)

• 描述：应用未能强制执行权限，允许用户访问不应访问的资源。
• 影响：可能导致敏感数据泄露和服务拒绝。

5. SQL 注入 (CWE-89)

• 描述：攻击者通过输入恶意 SQL 代码来操纵数据库查询。
• 影响：可能导致数据泄露、数据篡改和应用崩溃。

6. 跨站脚本 (XSS) (CWE-79)

• 描述：攻击者能够在用户浏览器中执行恶意脚本。
• 影响：可能导致会话劫持和用户数据泄露。

7. 不安全的反序列化 (CWE-502)

• 描述：反序列化用户输入时未验证，可能导致代码执行。
• 影响：可能导致远程代码执行和数据篡改。

8. 脆弱的随机数生成 (CWE-331)

• 描述：使用不安全的随机数生成算法，导致可预测性。
• 影响：可能导致密码破解和会话劫持。

9. 信息泄露 (CWE-200)

• 描述：程序在错误或异常情况下暴露敏感信息。
• 影响：可以帮助攻击者获取系统内部信息。

10. 不安全的直接对象引用 (CWE-639)

• 描述：应用程序直接暴露内部对象的引用。
• 影响：攻击者可能利用这些引用访问不应访问的数据。

11. 目录遍历 (CWE-22)

• 描述：攻击者通过路径操控访问文件系统中的敏感文件。
• 影响：可能导致敏感文件泄露。

12. 资源泄漏 (CWE-404)

• 描述：应用程序未能释放占用的资源，导致性能下降。
• 影响：可能导致服务拒绝或崩溃。

13. 认证相关错误 (CWE-287)

• 描述：在处理认证时存在缺陷，导致安全漏洞。
• 影响：可能允许未授权用户访问受保护的资源。

14. XML 外部实体 (XXE) 注入 (CWE-611)

• 描述：解析 XML 输入时未正确配置，允许外部实体访问。
• 影响：可能导致文件泄露和服务器端请求伪造。

15. 不适当的安全检查 (CWE-829)

• 描述：未能执行必要的安全检查，导致漏洞。
• 影响：可能导致未授权访问或数据泄露。

16. 非法的转发 (CWE-356)

• 描述：未对用户的转发请求进行适当验证。
• 影响：可能导致用户信息泄露。

17. 使用硬编码的凭证 (CWE-798)

• 描述：将凭证（如密码）硬编码在源代码中。
• 影响：可导致凭证泄露，容易被攻击者利用。

18. 反射型 XSS (CWE-79)

• 描述：攻击者注入恶意脚本并反射到用户浏览器中。
• 影响：可能导致用户会话劫持和数据泄露。

19. 不受信任的数据来源 (CWE-346)

• 描述：未对外部数据来源进行验证。
• 影响：攻击者可能利用不安全的数据注入系统。

20. 服务拒绝 (DoS) (CWE-400)

• 描述：应用程序遭到攻击，导致服务不可用。
• 影响：可能导致系统崩溃或性能下降。

21. 未处理的异常 (CWE-248)

• 描述：应用程序未对异常进行处理，导致未预期的行为。
• 影响：可能导致信息泄露和程序崩溃。

22. 程序逻辑缺陷 (CWE-833)

• 描述：程序在逻辑上存在缺陷，可能导致安全问题。
• 影响：可能导致意外的数据泄露或服务中断。

23. 不安全的 API 使用 (CWE-927)

• 描述：不安全地使用 API，可能导致安全漏洞。
• 影响：可能导致信息泄露和数据篡改。

24. 安全配置错误 (CWE-16)

• 描述：应用程序或服务器未按照最佳实践进行配置。
• 影响：可能导致各种安全漏洞。

25. 依赖漏洞 (CWE-276)

• 描述：应用程序依赖于存在已知漏洞的第三方库。
• 影响：可能导致应用程序受到攻击。

总结

了解这些安全漏洞并采取适当的预防措施，可以大幅降低软件开发和应用过程中潜在的安全风险。定期审查代码、实施安全测试和保持更新是保护系统安全的关键步骤。