Mitre发布了25个危险漏洞
2020-09-08 11:15:00 Author: www.4hou.com(查看原文) 阅读量:431 收藏

CWE Top 25 (2) (1).png

最近,Mitre发布了2020年最危险的25个软件漏洞;该列表明确列出了CWE Top 25(2019)中遇到的最流行和最具影响力的漏洞。

安全专家断言,这些软件漏洞很危险,因为它们通常很容易被发现及利用。此外,这些漏洞使攻击者可以完全劫持系统、窃取数据或停止应用程序的运行。

CWE top 25是一个有价值的信息资源,它将帮助开发人员、研究人员以及用户保护其业务。此外,CWE可以渗透到最严重和最新的安全漏洞。

25个最危险的软件漏洞

微信图片_20200901164817.png

分析报告

今年的CWE排名前25名名单已将其做了对比,合理安排顺序。虽然一些类别的漏洞仍然存在于列表中,但是这些漏洞在排名中已下降。 

安全研究人员申明,这一行动将继续下去,因为每年都会有更先进和危险的漏洞出现。

如果我们合理的排列顺序,则可以认识到不同类别的漏洞,例如CWE-119(在内存缓冲区范围内对操作的不适当限制),CWE-20(错误输入验证)和CWE- 200(向未经授权的攻击者暴露敏感信息)都向下移动了一些位置。

另一方面,例如CWE-79(网页生成过程中输入的不正确中和),CWE-787(越界写入)和CWE-125(越界读取)被移到了最前面。

除了这种漏洞之外,还有另一个特定的移动映射的结果,CWE-772(有效生命周期后资源丢失释放)在列表中排在第21位。正如我们所说的那样,这一行动将继续下去,并且每年都会引入新的具体漏洞。

与身份验证和授权相关的漏洞

列表中最重要的与身份验证和授权相关的四个主要漏洞,下面将进行介绍:

· CWE-522(凭据保护不足):从27到18

· CWE-306(关键功能缺少认证):从36到24

· CWE-862(缺少授权):从34到25

· CWE-863(错误授权):从33到29

方法

这个新列表非常专业,因为它是通过从NVD获取所有已发布的漏洞数据而开发的。NVD从CVE获取这些漏洞数据,然后扩展这些漏洞以及其他分析和信息。

此信息包括到一个或多个漏洞的映射,同时包括CVSS评分,CVSS评分是一个数字评分,概述了所有这些漏洞的可能严重程度,这些漏洞通常基于与漏洞有关的一组受管制的功能。

此外,与2018年和2019年的榜单相比,今年的榜单更具影响力。然而,为了确定CWE的频率,评分公式决定了CWE映射到NVD的CVE的次数。

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/OqpN
如有侵权请联系:admin#unsafe.sh