Топ-25 самых опасных уязвимостей 2020 года — yo-robot.ru

CWE программное обеспечение уязвимость MITRE

Первое место в списке заняла уязвимость типа межсайтовое выполнение сценариев.

На сайте Common Weakness Enumeration (CWE) опубликован свежий список наиболее уязвимостей 2020 года. 2020 CWE Top 25 Most Dangerous Software Weaknesses — демонстрационный список наиболее распространенных и критических уязвимостей, которые могут привести к серьезным проблемам в программном обеспечении.

Их эксплуатация часто позволяет злоумышленникам полностью взять под контроль выполнение программного обеспечения, украсть данные или помешать работе программного обеспечения.

В опубликованном списке подробно разбирается каждый из 25 видов проблем, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных уязвимостей. Ниже представлен обновленный список самых опасных уязвимостей:

CWE-79 — Некорректная нейтрализация входных данных при генерировании web-страниц (Межсайтовое выполнение сценариев) (Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)) Оценка 45,69 балла;

CWE-787 — Запись за границами буфера (Out-of-bounds Write). Оценка 46,17 балла;

CWE-20 — Некорректная проверка входных данных (Improper Input Validation). Оценка 43,61 балла;

CWE-125 — Чтение за пределами буфера (Out-of-bounds Read). Оценка 26,53 балла;

CWE-119 — Выполнение операций за пределами буфера памяти (Improper Restriction of Operations within the Bounds of a Memory Buffer). Оценка 75,56 балла;

CWE-89 — Некорректная нейтрализация специальных элементов, используемых в SQL-командах (Внедрение SQL) (Improper Neutralization of Special Elements used in an SQL Command (SQL Injection)). Оценка 24,54 балла;

CWE-200 — Разглашение информации (Information Exposure). Оценка 32,12 балла;

CWE-416 — Использование после освобождения (Use After Free). Оценка 17,94 балла;

CWE-352 — Межсайтовая подмена запросов (Cross-Site Request Forgery, CSRF). Оценка 15,54 балла;

CWE-78 — Некорректная нейтрализация специальных элементов, используемых в системных командах (Внедрение команд ОС). Оценка 16,44 балла.

Источник: securitylab.ru

Yo Robot
Добавить комментарий