Топ-25 самых опасных уязвимостей 2020 года

21 августа 2020 года

На сайте Common Weakness Enumeration (CWE) опубликован свежий список наиболее уязвимостей 2020 года. 2020 CWE Top 25 Most Dangerous Software Weaknesses — демонстрационный список наиболее распространенных и критических уязвимостей, которые могут привести к серьезным проблемам в программном обеспечении.

Их эксплуатация часто позволяет злоумышленникам полностью взять под контроль выполнение программного обеспечения, украсть данные или помешать работе программного обеспечения.

В опубликованном списке подробно разбирается каждый из 25 видов проблем, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных уязвимостей. Ниже представлен обновленный список самых опасных уязвимостей:

CWE-79 — Некорректная нейтрализация входных данных при генерировании web-страниц (Межсайтовое выполнение сценариев) (Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)) Оценка 45,69 балла;
CWE-787 — Запись за границами буфера (Out-of-bounds Write). Оценка 46,17 балла;
CWE-20 — Некорректная проверка входных данных (Improper Input Validation). Оценка 43,61 балла;
CWE-125 — Чтение за пределами буфера (Out-of-bounds Read). Оценка 26,53 балла;
CWE-119 — Выполнение операций за пределами буфера памяти (Improper Restriction of Operations within the Bounds of a Memory Buffer). Оценка 75,56 балла;
CWE-89 — Некорректная нейтрализация специальных элементов, используемых в SQL-командах (Внедрение SQL) (Improper Neutralization of Special Elements used in an SQL Command (SQL Injection)). Оценка 24,54 балла;
CWE-200 — Разглашение информации (Information Exposure). Оценка 32,12 балла;
CWE-416 — Использование после освобождения (Use After Free). Оценка 17,94 балла;
CWE-352 — Межсайтовая подмена запросов (Cross-Site Request Forgery, CSRF). Оценка 15,54 балла;
CWE-78 — Некорректная нейтрализация специальных элементов, используемых в системных командах (Внедрение команд ОС). Оценка 16,44 балла;
CWE-190 — Целочисленное переполнение (Integer Overflow or Wraparound). Оценка 15.81 балла;
CWE-22 — Атака обхода каталога (Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal'). Оценка 13.67 балла;
CWE-476 — Разыменование нулевого указателя (NULL Pointer Dereference). Оценка 8.35 балла;
CWE-287 — Неправильная аутентификация (Improper Authentication). Оценка 8.17 балла;
CWE-434 — Неограниченная загрузка файла опасного типа (Unrestricted Upload of File with Dangerous Type). Оценка 7.38 балла;
CWE-732 — Неправильное назначение разрешений для критического ресурса (Incorrect Permission Assignment for Critical Resource). Оценка 6.95 балла;
CWE-94 — Внедрение кода (Improper Control of Generation of Code ('Code Injection'). Оценка 6.53 балла;
CWE-522 — Недостаточно защищённые учетные данные (Insufficiently Protected Credentials). Оценка 5.49 балла;
CWE-611 — Неправильное ограничение ссылки на внешние объекты XML (Improper Restriction of XML External Entity Reference). Оценка 5.33 балла;
CWE-798 — Использование жестко заданных учетных данных (Use of Hard-coded Credentials). Оценка 5.19 балла;
CWE-502 — Десериализация ненадежных данных (Deserialization of Untrusted Data). Оценка 4.93 балла;
CWE-269 — Неправильное управление привилегиями (Improper Privilege Management). Оценка 4.87 балла;
CWE-400 — Неконтролируемое потребление ресурсов (Uncontrolled Resource Consumption). Оценка 4.14 балла;
CWE-306 — Отсутствует аутентификация для критической функции (Missing Authentication for Critical Function. Оценка 3.85 балла;
CWE-862 — Отсутствует авторизация (Missing Authorization). Оценка 3.77 балла.

Источники

Эта статья содержит материалы из статьи «Топ-25 самых опасных уязвимостей 2020 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported).

Creative Commons

Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.

Несколько советов по оформлению реплик:

Новые темы начинайте, пожалуйста, снизу.
Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.

Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.

Добавить комментарий

	Имеете своё мнение на этот счёт?
Оставьте свой комментарий

	Поделитесь новостью с друзьями
Телеграм Фейсбук Твиттер ВК ОК ЖЖ