Топ 25 самых опасных уязвимостей 2019 года

В опубликованном списке подробно разбирается каждый из 25 видов ошибок, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок. Ниже краткое описание 10 самых опасных уязвимостей:

1. CWE-119 — Выполнение операций за пределами буфера памяти (Improper Restriction of Operations within the Bounds of a Memory Buffer). Оценка 75,56 балла.

2. CWE-79 — Некорректная нейтрализация входных данных при генерировании web-страниц (Межсайтовое выполнение сценариев) (Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)) Оценка 45,69 балла.

3. CWE-20 — Некорректная проверка входных данных (Improper Input Validation). Оценка 43,61 балла.
   

4. CWE-200 — Разглашение информации (Information Exposure). Оценка 32,12 балла.

5. CWE-125 — Чтение за пределами буфера (Out-of-bounds Read). Оценка 26,53 балла.

6. CWE-89 — Некорректная нейтрализация специальных элементов, используемых в SQL-командах (Внедрение SQL)(Improper Neutralization of Special Elements used in an SQL Command (SQL Injection)). Оценка 24,54 балла.

7. CWE-416 — Использование после освобождения (Use After Free). Оценка 17,94 балла.

8. CWE-190 — Целочисленное переполнение или циклический возврат (Integer Overflow or Wraparound). Оценка 17,35 балла.

9. CWE-352 — Межсайтовая подмена запросов (Cross-Site Request Forgery, CSRF). Оценка 15,54 балла.

10. CWE-22 — Некорректные ограничения путей для каталогов (Подмена пути)(Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)). Оценка 14,10 балла.