Топ 25 самых опасных уязвимостей 2019 года

На сайте Common Weakness Enumeration (CWE) опубликован свежий список наиболее опасных ошибок программирования 2019 года. 2019 CWE Top 25 Most Dangerous Software Errors — демонстрационный список наиболее распространенных и критических уязвимостей, которые могут привести к серьезным проблемам в программном обеспечении. Их эксплуатация часто позволяет злоумышленникам полностью взять под контроль выполнение программного обеспечения, украсть данные или помешать работе программного обеспечения.

В опубликованном списке подробно разбирается каждый из 25 видов ошибок, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок. Ниже краткое описание 10 самых опасных уязвимостей:

  1. CWE-119 — Выполнение операций за пределами буфера памяти (Improper Restriction of Operations within the Bounds of a Memory Buffer). Оценка 75,56 балла по шкале CVSS.

  2. CWE-79 — Некорректная нейтрализация входных данных при генерировании web-страниц (Межсайтовое выполнение сценариев) (Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)) Оценка 45,69 балла по шкале CVSS.

  3. CWE-20 — Некорректная проверка входных данных (Improper Input Validation). Оценка 43,61 балла по шкале CVSS.

  4. CWE-200 — Разглашение информации (Information Exposure). Оценка 32,12 балла по шкале CVSS.

  5. CWE-125 — Чтение за пределами буфера (Out-of-bounds Read). Оценка 26,53 балла по шкале CVSS.

  6. CWE-89 — Некорректная нейтрализация специальных элементов, используемых в SQL-командах (Внедрение SQL)(Improper Neutralization of Special Elements used in an SQL Command (SQL Injection)). Оценка 24,54 балла по шкале CVSS.

  7. CWE-416 — Использование после освобождения (Use After Free). Оценка 17,94 балла по шкале CVSS.

  8. CWE-190 — Целочисленное переполнение или циклический возврат (Integer Overflow or Wraparound). Оценка 17,35 балла по шкале CVSS.

  9. CWE-352 — Межсайтовая подмена запросов (Cross-Site Request Forgery, CSRF). Оценка 15,54 балла по шкале CVSS.

  10. CWE-22 — Некорректные ограничения путей для каталогов (Подмена пути)(Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)). Оценка 14,10 балла по шкале CVSS.

Источник: Securitylab