聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
软件弱点是指从软件代码、架构、实现或设计中找到的缺陷、bug、漏洞和错误。攻击者可利用这些弱点攻陷易受攻击软件在运行的系统,获得对受影响设备的控制以及访问敏感数据或触发拒绝服务攻击。
MITRE 指出,“这些弱点通常易于发现和利用,可引发易受攻击的漏洞,使攻击者完全控制系统、窃取数据或阻止应用工作。找到这些漏洞的根因可为阻止这些漏洞发生的投资、政策和实践提供强大的指南,对行业行业和政府利益相关者都带来益处。”
为了发布今年的榜单,MITRE 分析了31770个CVE漏洞,基于严重性和频率对其进行评分。数据以2023到2024年期间CISA发布的必修清单 KEV为基础,而”重映射分析“有助于对漏洞优先级进行排序。
CISA提到,“该年度榜单找到攻击者高频率利用以攻陷系统、窃取敏感数据或破坏关键服务的最严重软件弱点。强烈建议组织机构查看该清单并知会软件安全策略。对开发和采购流程中的这些弱点进行优先级排序有助于从软件生命周期的核心阻止漏洞。”
排名 | 编号 | 名称 | 分数 | 纳入KEV 的CVE数量 | 排名变动 |
1 | CWE-79 | 跨站脚本 | 56.92 | 3 | +1 |
2 | CWE-787 | 界外写 | 45.20 | 18 | -1 |
3 | CWE-89 | SQL 注入 | 35.88 | 4 | 0 |
4 | CWE-352 | 跨站请求伪造 (CSRF) | 19.57 | 0 | +5 |
5 | CWE-22 | 路径遍历 | 12.74 | 4 | +3 |
6 | CWE-125 | 界外读 | 11.42 | 3 | +1 |
7 | CWE-78 | OS 命令注入 | 11.30 | 5 | -2 |
8 | CWE-416 | 释放后使用 | 10.19 | 5 | -4 |
9 | CWE-862 | 授权缺失 | 10.11 | 0 | +2 |
10 | CWE-434 | 具有危险类型文件的不受限上传 | 10.03 | 0 | 0 |
11 | CWE-94 | 代码注入 | 7.13 | 7 | +12 |
12 | CWE-20 | 输入验证不当 | 6.78 | 1 | -6 |
13 | CWE-77 | 命令注入 | 6.74 | 4 | +3 |
14 | CWE-287 | 认证不当 | 5.94 | 4 | -1 |
15 | CWE-269 | 权限管理不当 | 5.22 | 0 | +7 |
16 | CWE-502 | 可信数据反序列化 | 5.07 | 5 | -1 |
17 | CWE-200 | 敏感信息遭越权暴露 | 5.07 | 0 | +13 |
18 | CWE-863 | 授权不正确 | 4.05 | 2 | +6 |
19 | CWE-918 | 服务器端请求伪造 (SSRF) | 4.05 | 2 | 0 |
20 | CWE-119 | 内存缓冲区边界操作不当 | 3.69 | 2 | -3 |
21 | CWE-476 | 空指针解引用 | 3.58 | 0 | -9 |
22 | CWE-798 | 使用硬编码凭据 | 3.46 | 2 | -4 |
23 | CWE-190 | 整数上溢或环绕 | 3.37 | 3 | -9 |
24 | CWE-400 | 资源耗尽不受限 | 3.23 | 0 | +13 |
25 | CWE-306 | 关键函数认证缺失 | 2.73 | 5 | -5 |
CISA 还发布“设计安全”提醒,强调了尽管存在可用和有效的缓解措施,但尚未被消除的广为人知和已记录漏洞的的普遍性。CISA 一直在对正在进行的恶意活动进行响应,如7月针对黑客攻击思科、Palo Alto 和 Ivanti 网络边缘设备,要求厂商消除路径OS命令注入漏洞。在5月和3月,CISA 发布两份“安全设计”告警,督促技术管理层和软件开发人员阻止产品和代码中的路径遍历和SQLi漏洞。CISA还督促技术厂商停止交付具有默认密码的软件和设备,SOHO 路由器厂商抵御攻击。
上周,FBI、NSA和五眼联盟网络安全机构发布去年15大最常遭利用的安全漏洞清单,提醒攻击者专门攻击0day漏洞。它们提醒称,“2023年,大部分最常遭利用的漏洞遭利用时是0day漏洞状态,而2022年这些漏洞的数量不到一半。”
https://www.bleepingcomputer.com/news/security/mitre-shares-2024s-top-25-most-dangerous-software-weaknesses/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~