MITER发布了25个最危险的软件漏洞和错误列表,攻击者可利用这些弱点和漏洞来破坏我们的系统。
非营利组织的2019年常见弱点列举(CWE)25大最危险软件错误报告汇编了错误,错误和潜在的攻击媒介,开发人员应确保他们为了安全起见而熟悉它们。
从不正确的证书验证到内存缓冲区溢出错误,这些软件漏洞可以在攻击链中用于劫持易受攻击的系统,导致数据泄露,发起拒绝服务(DoS)攻击,并可能将软件控制权作为一种途径针对PC和联网设备的更广泛攻击。
MITER的清单侧重于CWE,它是基线软件安全漏洞,可能成为CVE的前身 - 供应商软件中的特定漏洞可以报告,解决和公开。
该小组表示,CWE清单可以作为“弱点识别,缓解和预防工作的共同基准标准”。
该列表自2011年以来首次发布,是通过新方法生成的。最初的2011年报告依赖于调查和访谈,而2019年的前25名是数据驱动的。
在今年的综述中,MITER从其数据库中提取了CVE数据以及从美国国家标准与技术研究院(NIST)的国家漏洞数据库(NVD)和通用漏洞评分系统(CVSS)获得的信息。
然后应用评分算法来创建2017年和2018年发现的最常见和最严重的软件问题列表。总共大约25,000个CVE提供了源数据。
但是,值得注意的是,该列表确实包含一些偏差,因为在公开发布之前发现并修复了漏洞,以及CVE建议,其中只分享了影响而不是完整的技术细节 - 或者供应商使用的语言难以分析,导致至少解雇2,600 CVE。
此外,检测工具更有可能发现和分析某些特定类别的软件错误而不是其他可能导致代表性不足的错误,并且已知评分系统无意中将实施缺陷优先于设计缺陷。
根据MITRE,最危险的软件错误是CWE-119,被描述为“内存缓冲区内操作的不正确限制”。换句话说,当软件将在内存缓冲区上执行任务但也能够从缓冲区边界之外的位置读取或写入时。
如果被利用,攻击者可能能够执行任意代码,劫持系统,窃取敏感数据或导致系统崩溃。
排在第二位的是CWE-79,“网页生成期间输入的不正确中和” - 也称为跨站点脚本(XSS)。XSS漏洞很常见,通常是由于无法正确控制或中和网页上的用户输入而导致的。
CNET: 隐私的支点可以带来1亿美元的拨款
MITRE表示,当Web请求未得到安全管理时,可能会形成XSS错误,从而导致网站生成包含潜在恶意数据的页面并将其提供给访问者,其中代码可能会被注入浏览器会话。
XSS问题有三种类型。当直接从HTTP请求读取数据并反射回来时,会发生反射的XSS; 存储的XSS被描述为恶意代码存储在数据库中并动态读回应用程序,并且当DOM环境通过客户端脚本被篡改时,可以发生基于DOM的XSS攻击。
在成功的基于XSS的攻击中,威胁参与者可能能够窃听通信,进行网络钓鱼并将访问者发送到恶意域,并且在某些情况下,也可能在易受攻击的计算机上进行偷渡式攻击。
第三,当软件无法验证或错误验证输入时,会发生“错误输入验证” CWE-20。当发生这种情况时,攻击者可以制定输入来篡改数据流,可能导致被劫持的软件,提升的控制级别或代码执行。
TechRepublic: 自2018年以来,DNS放大攻击增加了1,000%
影响软件安全的第四个最常见和最严重的问题是“信息曝光”,标记为CWE-200。这个广义的术语封装了软件缺陷,导致与功能,产品和环境相关的敏感信息泄露。信息泄露可能由PHP脚本问题和加密定时错误等错误引起。
第五个最普遍的问题是CWE-125,或者是越界读数。如果软件具有编码错误,允许系统在缓冲区的结尾或开始之前读取,则可以利用此信息来泄漏和崩溃。
MITRE的前25名列表中还包括错误,包括SQL注入,跨站点请求伪造(CSRF),免费使用后漏洞,不正确的身份验证问题以及不正确的权限分配。
完整的MITRE Top 25列表如下:
534
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
