Опубликован топ-25 самых опасных уязвимостей 2019 года
ЕРЕВАН, 18 сентября. /АРКА/. На сайте Common Weakness Enumeration (CWE) опубликован свежий список наиболее опасных ошибок программирования 2019 года. 2019 CWE Top 25 Most Dangerous Software Errors — демонстрационный список наиболее распространенных и критических уязвимостей, которые могут привести к серьезным проблемам в программном обеспечении. Их эксплуатация часто позволяет злоумышленникам полностью взять под контроль выполнение программного обеспечения, украсть данные или помешать работе программного обеспечения. Об этом сообщает securitylab.ru.
В опубликованном списке подробно разбирается каждый из 25 видов ошибок, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок. Ниже краткое описание 10 самых опасных уязвимостей:
CWE-119 — Выполнение операций за пределами буфера памяти (Improper Restriction of Operations within the Bounds of a Memory Buffer). Оценка 75,56 балла по шкале CVSS.
CWE-79 — Некорректная нейтрализация входных данных при генерировании web-страниц (Межсайтовое выполнение сценариев) (Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)) Оценка 45,69 балла по шкале CVSS.
CWE-20 — Некорректная проверка входных данных (Improper Input Validation). Оценка 43,61 балла по шкале CVSS.
CWE-200 — Разглашение информации (Information Exposure). Оценка 32,12 балла по шкале CVSS.
CWE-125 — Чтение за пределами буфера (Out-of-bounds Read). Оценка 26,53 балла по шкале CVSS.
CWE-89 — Некорректная нейтрализация специальных элементов, используемых в SQL-командах (Внедрение SQL)(Improper Neutralization of Special Elements used in an SQL Command (SQL Injection)). Оценка 24,54 балла по шкале CVSS.
CWE-416 — Использование после освобождения (Use After Free). Оценка 17,94 балла по шкале CVSS.
CWE-190 — Целочисленное переполнение или циклический возврат (Integer Overflow or Wraparound). Оценка 17,35 балла по шкале CVSS.
CWE-352 — Межсайтовая подмена запросов (Cross-Site Request Forgery, CSRF). Оценка 15,54 балла по шкале CVSS.
CWE-22 — Некорректные ограничения путей для каталогов (Подмена пути)(Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)). Оценка 14,10 балла по шкале CVSS. -0-