Categories
程式開發

2020年最危險的25個軟件漏洞


在8月份,2020年CWE Top 25正式公佈,這25個軟件漏洞是指在過去一段時間發現的最常見和影響最大的安全問題。

這些漏洞非常危險,因為它們不僅很容易被發現和利用,而且能讓攻擊者完全接管系統、竊取數據或阻止應用程序正常運行。無論是軟件開發者,還是安全人員,都應該好好了解,因為CWE Top 25能幫開發人員、測試人員和用戶以及項目經理、安全研究人員和培訓工作者深入了解當前最嚴重的安全漏洞。

據悉,CWE團隊使用美國國家標準技術研究院(NIST)國家漏洞數據庫(NVD)裡的CVE(Common Vulnerabilities and Exposures)數據以及與每一個CVE相關的CVSS(Common Vulnerability Scoring System)得分。基於每個CWE的傳播程度和嚴重程度,他們使用一個公式對其進行評分。

CWE Top 25清單

下面是2020年CWE Top 25清單,其中包含了每一個CWE的總體得分。

2020年最危險的25個軟件漏洞 1

分析與評論

2019年和2020年CWE Top 25清單之間的主要區別在於從抽像類別級別的漏洞向更具體的漏洞過渡。儘管這些類別級別的漏洞仍在清單中,但排名下降了。

隨著社區不斷改進映射方式,預計這種趨勢將在未來幾年繼續。從清單中可以看出,類別級別的漏洞CWE-119(不恰當的內存緩衝區操作限制)、CWE-20(不恰當的輸入驗證)和CWE-200(向未經授權的行為體公開敏感信息)下移了幾名,而CWE-79(頁面生成過程中不恰當的輸入)、CWE-787(寫越界)和CWE-125(讀越界)等更具體的漏洞正在取代它們。這種變化以及隨後的發展趨勢將有助於用戶對威脅當今系統的問題加深了解。

原文鏈接:【https://www.infoq.cn/article/K1zO85MpJBSqNWbBP1fQ】。未經作者許可,禁止轉載。