报告:2019年25大软件缺陷
极客时间编辑部
讲述:丁婵大小:1.78M时长:03:54
近日,MITRE 发布了一份包含 25 个常见软件缺陷即 CWE 的草案列表,该草案列出了可能导致软件严重漏洞的最常见也是最严重的缺陷,该组织在新闻发布会上还对此进行了解释。
网络安全和基础架构安全局 (CISA) 在关于这份草案列表的建议中说,攻击者通常可以利用这些漏洞来控制受影响的系统,窃取敏感数据,或致使拒绝服务的情况 。他们建议用户和管理员了解这份清单,并查看 MITRE 提出的解决方案及补救措施。
要知道,这 25 个缺陷是提供给软件开发人员、测试人员、客户、项目经理、安全研究人员和教育工作者的社区资源,用以探索软件中的常见威胁。
今年的 Top 25 名单并没有什么意外之处。
得分最高的缺陷是 CWE-119,内存缓冲区范围内的操作限制不当,又称缓冲区溢出,得分为 75.56。某些语言允许直接寻址存储位置,并且不能自动确保该位置对所引用的存储缓冲区有效。这可能导致对链接到数据结构或内部程序数据的存储器位置执行读或写操作。攻击者可能执行恶意代码,更改控制流,读取敏感数据或使系统崩溃。
排名第二的是 CWE-79 ,网页生成过程中输入的不正确中和,也称跨站点脚本编写,得分为 45.69。在将软件置于用户可控制的输入中之前,该软件不会中和或错误地中和用户可控制的输入,然后将该输出用作提供给其他用户的网页。不受信任的数据可能会进入 Web 应用程序并最终执行恶意脚本。
排名第三的是 CWE-20,输入验证不当。当软件不验证或不正确地验证可能影响程序的控制流或数据流的输入时,就会存在。攻击者可以编写应用程序无法预期的输入,这可能导致系统的某些部分接收到意外的输入,这导致任意代码被执行或产生被更改的控制流。
由于名单过多,在此不一一列举,你可以打开文档查看这份列表。
用户可以使用这份前 25 名缺陷名单来评估他们购买的软件,确保软件供应商使用了正确的安全防范措施。开发人员可以将该列表用作“优先备忘单”,毕竟其中包含他们应该关注的缺陷。
今年,该团队采用了一种全新方法来获得列表。该方法涉及从美国国家漏洞数据库(NVD)内提取数据,并考虑频率和平均通用漏洞评分系统(CVSS)得分以确定排名。使用评分公式来评估每个缺陷出现的频率和危险程度。
从以往的经验来看,此列表都是通过收集来自网络组织的调查回复以及收集来自安全分析师、研究人员和开发人员的反馈而编制的。这要求行业专家提交他们认为最常见或最重要的缺陷,然后使用定制化的通用漏洞评分系统来确定每个漏洞的等级。
对此,MITER 称这种方法有很多优点,但它也是劳动密集型的且主观的。而 2019 年的名单涉及更严格的统计过程,它利用有关报告的漏洞数据来测量每个漏洞的危险性。MITER 认为这种方法更加客观。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论