CISA 发布 2024 年最危险的 25 个软件缺陷清单

新闻
13天前

美国网络安全与基础设施安全局(CISA)和 国土安全系统工程与开发研究所(Homeland Security Systems Engineering and Development Institute)发布了2024 年 CWE 25 大最危险软件缺陷列表,虽然可能读起来枯燥乏味,但对开发人员来说却非常重要。

图片122.jpg

该列表统计了威胁行为者用来窃取数据、破坏服务以及入侵系统和网络的最常利用的软件缺陷。

CISA 在一份咨询意见中说:"我们强烈建议各组织审查这份清单,并利用它来指导自己的软件安全战略。在开发和采购过程中优先考虑这些弱点,有助于在软件生命周期的核心环节预防漏洞。" 今年的清单采用了一种新的方法进行编制,因此清单中出现了不少变动。

今年的榜单是利用 31770 条 CVE 记录编制而成的,其中包括由 275 个不同的 CVE 编号机构创建的 9000 条 CVE 记录。然后使用了一个评分公式,将利用弱点的频率和弱点的平均严重程度结合起来。

因此,只有三个弱点保留了原有排名,新增了两个弱点--不受控制的资源消耗和敏感信息暴露给未经授权的行为者。

总之,这里有一份清单,基本上是一份软件开发人员不应该做的事情的清单。

1、网页生成过程中输入的不适当中性化("跨站脚本")

     去年排名:2

2、越界写入

     去年排名第1

3、SQL 命令中使用的特殊元素中和不当("SQL 注入)

     去年排名第3

4、跨站请求伪造 (CSRF)

     去年排名第9

5、对受限目录的路径名限制不当("路径遍历)

     去年排名第8

6、越界读取

     去年排名第7

7、操作系统命令中使用的特殊元素中和不当("操作系统命令注入")。

     去年排名第5

8、免费后使用

     去年排名第4

9、缺少授权

     去年排名第11

10、不受限制地上传危险类型文件

     去年排名第10

11、代码生成控制不当("代码注入)

     去年排名第23

12、输入验证码错误

     去年排名第6

13、命令中使用的特殊元素的不适当中和("命令注入)

     去年排名第16

14、验证错误

     去年排名第13

15、权限管理不当

     去年排名第22

16、反序列化不受信任的数据

     去年排名第15

17、敏感信息暴露给未经授权的访问者

     去年排名第30

18、授权不正确

     去年排名第24

19、服务器端请求伪造(SSRF)

     去年排名第19

20、内存缓冲区范围内操作的不当限制

     去年排名第17

21、取消引用 NULL 指针

     去年排名第12

22、使用硬编码凭证

     去年排名第18

23、整数溢出或环绕

     去年排名第14

24、不受控制的资源消耗

     去年排名第37

25、关键功能认证缺失

     去年排名第20