На сайте Common Weakness Enumeration (CWE) опубликован свежий список наиболее уязвимостей 2020 года. 2020 CWE Top 25 Most Dangerous Software Weaknesses — демонстрационный список наиболее распространенных и критических уязвимостей, которые могут привести к серьезным проблемам в программном обеспечении.
Их эксплуатация часто позволяет злоумышленникам полностью взять под контроль выполнение программного обеспечения, украсть данные или помешать работе программного обеспечения.
В опубликованном списке подробно разбирается каждый из 25 видов проблем, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных уязвимостей. Ниже представлен обновленный список самых опасных уязвимостей:
-
CWE-79 — Некорректная нейтрализация входных данных при генерировании web-страниц (Межсайтовое выполнение сценариев) (Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)) Оценка 45,69 балла;
-
CWE-787 — Запись за границами буфера (Out-of-bounds Write). Оценка 46,17 балла;
-
CWE-20 — Некорректная проверка входных данных (Improper Input Validation). Оценка 43,61 балла;
-
CWE-125 — Чтение за пределами буфера (Out-of-bounds Read). Оценка 26,53 балла;
-
CWE-119 — Выполнение операций за пределами буфера памяти (Improper Restriction of Operations within the Bounds of a Memory Buffer). Оценка 75,56 балла;
-
CWE-89 — Некорректная нейтрализация специальных элементов, используемых в SQL-командах (Внедрение SQL) (Improper Neutralization of Special Elements used in an SQL Command (SQL Injection)). Оценка 24,54 балла;
-
CWE-200 — Разглашение информации (Information Exposure). Оценка 32,12 балла;
-
CWE-416 — Использование после освобождения (Use After Free). Оценка 17,94 балла;
-
CWE-352 — Межсайтовая подмена запросов (Cross-Site Request Forgery, CSRF). Оценка 15,54 балла;
-
CWE-78 — Некорректная нейтрализация специальных элементов, используемых в системных командах (Внедрение команд ОС). Оценка 16,44 балла.