MITRE发布2019 CWE Top 25最危险的软件错误榜单草案
2019-09-25 10:00:46 Author: www.freebuf.com(查看原文) 阅读量:136 收藏

MITRE是一家美国的非盈利组织,也是运维CVE漏洞数据库背后的组织。今年9月份MITRE在其官网发布了2019 CWE Top 25最危险的软件错误榜单(2019 CWE Top 25 Most Dangerous Software Errors)草案,参见表1。MITRE上一次发布Top 25软件错误榜单是在2011年。

表12019 CWE Top 25最危险的软件错误榜单:

排名 CWE-ID CWE类型 评分
1 CWE-119 对内存缓冲区内的操作限制不当 75.56
2 CWE-79 跨站脚本 45.69
3 CWE-20 输入验证不当 43.61
4 CWE-200 信息泄露 32.12
5 CWE-125 越界读取 26.53
6 CWE-89 SQL注入 24.54
7 CWE-416 释放后重用 17.94
8 CWE-190 整数溢出或环绕 17.35
9 CWE-352 跨站请求伪造 15.54
10 CWE-22 路径遍历 14.10
11 CWE-78 OS命令注入 11.47
12 CWE-787 越界写入 11.08
13 CWE-287 授权不当 10.78
14 CWE-476 空指针逆向引用 9.74
15 CWE-732 对关键资源的权限分配错误 6.33
16 CWE-434 未限制上传威胁类型的文件 5.50
17 CWE-611 对XML外部实体引用限制不当 5.48
18 CWE-94 代码注入 5.36
19 CWE-798 使用硬编码凭据 5.12
20 CWE-400 不受控制的资源消耗 5.04
21 CWE-772 有效生命期后未能释放资源 5.04
22 CWE-426 不可信的搜索路径 4.40
23 CWE-502 对不可信的数据反序列化 4.30
24 CWE-269 权限管理不当 4.23
25 CWE-295 证书验证不当 4.06

2019之不同的数据来源

隔了8年之久才再次发布的这份CWE TOP25榜单,与以往榜单的首要不同在于数据来源。2009至2011 Top25榜单的数据来自于对开发人员,顶级安全分析人员,研究人员和厂商的调查和面谈,采用CWSS对漏洞类型进行评分定级。而2019 CWE Top 25榜单的数据则基于NVD数据库中2017年度和2018年度真实存在的CVE漏洞,同时结合每个CVE漏洞的CVSS评分。另一方面,MITRE也采用了不同的计算公式来为2019 CWE Top25评分。可以说,较之于以往年度,2019 CWE Top 25的客观性更高。

2019 CWE TOP 5

2019 CWE TOP 5依次为CWE-119对内存缓冲区内的操作限制不当,CWE-79跨站脚本,CWE-20输入验证不当,CWE-200信息泄露和CWE-125越界读取。既然2019 CWE Top25是基于2017年度和2018年度的CVE数据,笔者就去NVD数据库看了下这两个年度TOP 5相应的CVE数量,并统计了这两年内相应的CVE数量占比,参见表2。

表2 2019 CWE TOP 5相应CVE数量和占比(20170101-20181231)

排名 CWE-ID CWE类型 CVE数量 占比
1 CWE-119 对内存缓冲区内的操作限制不当 4277 13.73%
2 CWE-79 跨站脚本 3428 11.00%
3 CWE-20 输入验证不当 2418 7.76%
4 CWE-200 信息泄露 2783 8.93%
5 CWE-125 越界读取 1012 3.25%

NVD数据库中2017年-2018年共收入了31159个CVE漏洞,而MITRE 2019 CWE Top1 至Top5的CVE总数量为13918,总占比达到了44.67%。

毫无疑问,这些缺陷都是广泛存在的,并可能导致严重的软件漏洞。黑客通过成功利用这些漏洞可以控制受影响的系统,窃取敏感数据或者导致拒绝服务,进而造成网络风险,甚至引起网络攻击。例如,在2017年的永恒之蓝网络攻击事件中,遭到黑客利用的CVE-2017-0144的漏洞类型即为CWE-20输入验证不当。

MITRE CWE Top25对于开发和安全来说都是具有参考意义的资源,但是这份榜单也不是放之四海而皆准,每个组织都应该根据自己的情况,基于自身的标准来创建自己的缺陷列表和策略。

参考来源:

MITRE,2019 CWE Top 25 Most Dangerous Software Errors,https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html

MITRE,CWE Top 25 Archive,https://cwe.mitre.org/top25/archive/

*本文作者:偶然路过的围观群众,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/news/214746.html
如有侵权请联系:admin#unsafe.sh