freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

MITRE发布2019 CWE Top 25最危险的软件错误榜单草案
2019-09-25 09:00:46

MITRE是一家美国的非盈利组织,也是运维CVE漏洞数据库背后的组织。今年9月份MITRE在其官网发布了2019 CWE Top 25最危险的软件错误榜单(2019 CWE Top 25 Most Dangerous Software Errors)草案,参见表1。MITRE上一次发布Top 25软件错误榜单是在2011年。

表12019 CWE Top 25最危险的软件错误榜单:

排名CWE-IDCWE类型评分
1CWE-119对内存缓冲区内的操作限制不当75.56
2CWE-79跨站脚本45.69
3CWE-20输入验证不当43.61
4CWE-200信息泄露32.12
5CWE-125越界读取26.53
6CWE-89SQL注入24.54
7CWE-416释放后重用17.94
8CWE-190整数溢出或环绕17.35
9CWE-352跨站请求伪造15.54
10CWE-22路径遍历14.10
11CWE-78OS命令注入11.47
12CWE-787越界写入11.08
13CWE-287授权不当10.78
14CWE-476空指针逆向引用9.74
15CWE-732对关键资源的权限分配错误6.33
16CWE-434未限制上传威胁类型的文件5.50
17CWE-611对XML外部实体引用限制不当5.48
18CWE-94代码注入5.36
19CWE-798使用硬编码凭据5.12
20CWE-400不受控制的资源消耗5.04
21CWE-772有效生命期后未能释放资源5.04
22CWE-426不可信的搜索路径4.40
23CWE-502对不可信的数据反序列化4.30
24CWE-269权限管理不当4.23
25CWE-295证书验证不当4.06

2019之不同的数据来源

隔了8年之久才再次发布的这份CWE TOP25榜单,与以往榜单的首要不同在于数据来源。2009至2011 Top25榜单的数据来自于对开发人员,顶级安全分析人员,研究人员和厂商的调查和面谈,采用CWSS对漏洞类型进行评分定级。而2019 CWE Top 25榜单的数据则基于NVD数据库中2017年度和2018年度真实存在的CVE漏洞,同时结合每个CVE漏洞的CVSS评分。另一方面,MITRE也采用了不同的计算公式来为2019 CWE Top25评分。可以说,较之于以往年度,2019 CWE Top 25的客观性更高。

2019 CWE TOP 5

2019 CWE TOP 5依次为CWE-119对内存缓冲区内的操作限制不当,CWE-79跨站脚本,CWE-20输入验证不当,CWE-200信息泄露和CWE-125越界读取。既然2019 CWE Top25是基于2017年度和2018年度的CVE数据,笔者就去NVD数据库看了下这两个年度TOP 5相应的CVE数量,并统计了这两年内相应的CVE数量占比,参见表2。

表2 2019 CWE TOP 5相应CVE数量和占比(20170101-20181231)

排名 CWE-ID CWE类型 CVE数量 占比
1 CWE-119 对内存缓冲区内的操作限制不当 4277 13.73%
2 CWE-79 跨站脚本 3428 11.00%
3 CWE-20 输入验证不当 2418 7.76%
4 CWE-200 信息泄露 2783 8.93%
5 CWE-125 越界读取 1012 3.25%

NVD数据库中2017年-2018年共收入了31159个CVE漏洞,而MITRE 2019 CWE Top1 至Top5的CVE总数量为13918,总占比达到了44.67%。

毫无疑问,这些缺陷都是广泛存在的,并可能导致严重的软件漏洞。黑客通过成功利用这些漏洞可以控制受影响的系统,窃取敏感数据或者导致拒绝服务,进而造成网络风险,甚至引起网络攻击。例如,在2017年的永恒之蓝网络攻击事件中,遭到黑客利用的CVE-2017-0144的漏洞类型即为CWE-20输入验证不当。

MITRE CWE Top25对于开发和安全来说都是具有参考意义的资源,但是这份榜单也不是放之四海而皆准,每个组织都应该根据自己的情况,基于自身的标准来创建自己的缺陷列表和策略。

参考来源:

MITRE,2019 CWE Top 25 Most Dangerous Software Errors,https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html

MITRE,CWE Top 25 Archive,https://cwe.mitre.org/top25/archive/

*本文作者:偶然路过的围观群众,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# MITRE # 2019 CWE Top 25 # 软件错误榜单草案
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦