CWE给年轻人的25条建议

最新推荐文章于 2023-09-27 11:22:30 发布
最新推荐文章于 2023-09-27 11:22:30 发布
阅读量535 收藏 2
点赞数 1
分类专栏: 面向安全的编程
原文链接:https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html
版权

时隔8年,CWE发布了25条最危险的软件编码错误。值得D站的每一个年轻人深度学习。这25条建议是导致软件严重漏洞的最频繁发生的关键错误。

简言之——

必看,

必学,

必自省

任何一个敲代码的都要重视这些错误,攻击者通常利用这些漏洞来控制系统、获取敏感信息或导致拒绝服务的情况。

25个太长,不妨先看前5个。排名第一的是“对内存缓冲区内的操作限制不当”,在CWE中的编号为CWE-119。为什么该类型的错误荣登榜首?因为在CVE中,就是在广泛认同的信息安全漏洞或者已经暴露出来的漏洞中,有高达4277个可被利用的漏洞爆出,不可不防。NVD则是把CVE再加上其他分析及数据。

RankIDNameNVD 数量
[1]CWE-119对内存缓冲区内的操作限制不当3545
[2]CWE-79跨站脚本3430
[3]CWE-20输入验证不当2360
[4]CWE-200信息泄露2300
[5]CWE-125越界读取1428
[6]CWE-89SQL注入977
[7]CWE-416内存释放后使用799
[8]CWE-190整数溢出867
[9]CWE-352跨站点请求伪造 (CSRF)693
[10]CWE-22非法文件目录访问 ('路径遍历')759
[11]CWE-78OS 命令注入486
[12]CWE-787越界读写510
[13]CWE-287不当身份验证495
[14]CWE-476空指针引用572
[15]CWE-732关键资源的权限分配不当334
[16]CWE-434不受限制的文件传输239
[17]CWE-611对XML外部实体引用的不适当限制262
[18]CWE-94代码注入230
[19]CWE-798使用硬编码的凭证215
[20]CWE-400不受控制的资源消耗288
[21]CWE-772资源未被释放304
[22]CWE-426不可信的搜索路径215
[23]CWE-502不可信数据的反序列化177
[24]CWE-269权限管理不当226
[25]CWE-295不适当的证书验证248

来源:https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html 英文好的直接看,后续将写文举例说明。

JohannaCui
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
简单了解路径遍历(CWE-23)漏洞以及其修复方案
wangji5487的博客
01-07 4117
前言: 一些网站应用,出于业务需求,提供了文件的下载功能,但是没有对路径做任何的限制以及规范,那么就有可能触发路径遍历(CWE-23)漏洞。 了解 前面已经了解了触发的原因,那么我们先了解下什么是路径遍历(CWE-23)漏洞。 根据 http://cwe.mitre.org/data/definitions/23.html 提供的信息可以了解到,该软件使用外部输入来构建路径名,该路径名应位于受限目...
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
NARUTONEPIECE的博客
01-31 430
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer(没能将内存操作限制在边界范围内)
plstudio1的博客
03-20 2268
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer(没能将内存操作限制在边界范围内) ID: 119 类型:类 结构:简单 状态:可用 描述 软件在内存缓冲区上执行操作,但它可以读取或写入缓冲区预期边界之外的内存位置。 ...
CWE-782: Exposed IOCTL with Insufficient Access Control(对IOCTL功能的访问控制不充分)
plstudio1的博客
06-02 224
ID: 782 类型:变量 结构:简单 状态:草稿 描述 软件实现了应该限制使用的IOCTL,但是却没有恰当的强化对IOCTL的访问。 扩展描述 当ioctl包含特权功能并且不必要地暴露时,攻击者可以通过调用ioctl来访问此功能。即使功能是良性的,如果程序员假定IOCTL只能由受信任的进程访问,那么可能很少或根本没有对传入数据的验证...
CWE-79 out-of-bound write 越界写入
海棠里的大鱼
08-19 1897
软件在预期缓冲区的末尾或开头之前写入数据。 通常会导致数据损坏、崩溃或代码执行。软件可以修改索引或执行指针算术来引用缓冲区边界之外的存储位置。随后的写入操作会产生未定义或意外的结果。 危害:影响软件的完整性。修改内存;DoS:崩溃、退出或重启;执行未经授权的代码或命令。 被利用性较高。 措施: (1)使用不允许出现此弱点的语言或提供使此弱点更容易避免的结构。如:Java和Perl,不会受到缓冲区溢出的影响。其他语言(如Ada和C3)通常提供溢出保护,但程序员可以禁用该保护。 (2)使用经过审查.
cwe-tool:基于常见弱点枚举的OWASP CAPSEC数据库的命令行CWE发现工具
05-23
安装可通过Node.js工具执行如果您具有Node.js环境,则可以使用cwe-tool调用cwe-tool tool,如下所示: npx cwe-tool [...command-line options...]码头工人从Docker Hub提取图像docker pull lirantal/cwe-tooldocker...
CWE TOP 25 和 OSWAP TOP 10
03-11
包括简介,危害,解决方法,不用怕被查,都是我自己从他们的网站自己翻译的
cwe_latest 2021 common weakness enumeration.pdf
03-24
CWE Latest 2021 Common Weakness Enumeration》是美国国土安全部国家网络安全分部赞助的软件保障战略项目,由MITRE公司于2021年发布。CWE(Common Weakness Enumeration)是一个公开的、社区驱动的弱点分类体系,...
CWE List Version 4.12
09-07
6. CWE-11:ASP.NET配置错误:创建调试二进制文件。启用调试模式会暴露敏感信息,并可能允许攻击者更容易地分析代码,寻找漏洞。 7. CWE-12:ASP.NET配置错误:缺少自定义错误页面。与J2EE类似,缺乏自定义错误处理...
CWE476
03-15
标题"CWE476"指的是Common Weakness Enumeration (CWE)中的第476号漏洞,这是一项关于软件安全的国际标准,用于识别、分类和记录软件中的弱点。CWE476通常被称为"Null Pointer Dereference",即空指针解引用。这个...
【应用安全实践】Java代码中的CWE-352的安全漏洞如何解决
zoekimjun的专栏
07-23 513
Java代码中的CWE-352的安全漏洞如何解决
漏洞分析|Craft CMS 远程代码执行漏洞 (CVE-2023-41892)
xuandaoren的博客
09-27 1444
Pixel&tonic Craft CMS 是美国 Pixel&tonic 公司的一套内容管理系统(CMS)。在 4.4.15 之前的版本中,存在一个远程代码执行漏洞。Craft CMS 是一个用于创建数字体验的平台,这是一个高影响、低复杂性的攻击向量。2.详细描述受影响的 Craft CMS 版本存在代码注入漏洞,该漏洞源于远程代码执行漏洞。为了缓解此问题,建议运行 4.4.15 之前版本的用户至少更新到 4.4.15 版本。此问题已在 Craft CMS 4.4.15 中得到修复。漏洞严重性。
基于社区发现算法对CWE的划分实践
四维创智
07-22 976
但划分结果,也仅仅只能在研究漏洞攻击收益、攻击效果等领域进行应用,并由于CAPEC标准中定义的攻击收益种类过于单调(过滤重复后,攻击收益仅有34种),且大量CAPEC没有标注攻击收益,从而导致使用该方法划分的CWE簇,若数量保持在10-20个,则导致簇中会出现在图谱中无连通性的节点,大量存在于同一簇中的现象,若数量增加,则又会导致簇与簇之间,重叠度过高。而这其中,同一社区的CWE,在攻击向量的选择上,应保持一定的一致性,对于作用组件类型和攻击载荷发送方式,则会存在差异。基于模块度的社区发现算法。...
悟空云课堂 | 第三十二期:不受控制的资源消耗(CWE-400:Uncontrolled Resource Consumption)
Tianqi_Wukong的博客
01-20 843
悟空云课堂 | 第三十二期:不受控制的资源消耗(CWE-400:Uncontrolled Resource Consumption) 01 什么是不受控制的资源消耗缺陷? 软件无法正确控制有限资源的分配和维护,从而使参与者无法影响所消耗的资源量,最终导致可用资源的耗尽。有限的资源包括内存,文件系统存储,数据库连接池目和CPU。 如果攻击者可以触发这些有限资源的分配,但是资源的数量或大小不受控制,则攻击者可能会导致拒绝服务,从而消耗所有可用资源。这将阻止有效用户访问该软件,并且可能对周围环境产生影响。 例如
漏洞发展趋势摘要
m0_73803866的博客
10-27 552
随着计算机网络技术的发展,全球互联网体量急速膨胀,网络安全形势日益严峻,国家政治、经济、 文化、社会及公民在网络空间的合法权益面临严峻挑战。近些年来安全漏洞数量呈现递增趋势,基于漏 洞的网络安全事件层出不穷,为我们敲响了信息安全攻防战的警钟。软件由于开发及设计等各方面的原因,存在漏洞在所难免。对安全研究人员来说,通过对漏洞发展 趋势的研究,可以在攻击者利用漏洞造成危害之前,提出及时有效的修补方案,尽可能的减少攻击事件 的发生。
CWE学习(一)
qq_44370676的博客
04-28 4351
CWECWE-20: Improper Input Validation示例代码1示例代码2CWE-22: Improper Limitation of a Pathname to a Restricted Directory示例代码1CWE-78: Improper Neutralization of Special Elements used in an OS Command示例代码1CWE-119: Improper Restriction of Operations within the Bound
CWE-通用弱点枚举简介
plstudio1的博客
03-19 3978
对于软件来说,安全是航空、航天、军工、电力、金融等关键行业极为重视的特性之一。因此,保证软件尽量安全是软件研发人员的重要责任。可以说,软件安全漏洞是软件研发者的一大死敌。古语有云:知彼知己,百战不殆。要想取得战争的胜利,就要尽可能充分认识软件安全漏洞。CWE就是认识它们的一个窗口。从今天开始,我通过把CWE中的内容逐步翻译出来,同大家一起认识和了解软件漏洞,进而找到制服它们的方法。 CWE是社区...
道高一丈,且看CWE4.2的新特性
华为云官方博客
12-28 2933
摘要:CWE在今年2/24发布4.0,首次将硬件安全漏洞纳入了CWE中,6/25发布4.1, 8/20就发布了4.2。 1. 按照惯例,先说故事 我们先说下CWE的幕后老板--MITRE[1]。 MITRE称自己是一家“非赢利组织”,通过联邦资助的研发中心(Federally Funded R&D Centers(FFRDC))运作。目标是为更安全的世界解决问题(we solve problems for a safer world)。 1.1. MITRE的起源 MITRE的历史可以追溯到
CWE 4.7中的新视图:工业控制系统的安全漏洞类别
华为云官方博客
05-09 1587
CWE今年的第一个版本在5/1前发布了,做为软件安全的重要分类标准,我们来看下这个版本有那些变化。
CWE-checker分析.pptx
最新发布
10-24
CWE Checker是一个用于扫描二进制文件并查找已知软件弱点的工具,它可以帮助开发人员发现潜在的安全问题并提供建议建议修复方案。其项目地址为https://github.com/fkie-cad/cwe_checker。本文将对CWE Checker进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值