Их эксплуатация позволяет полностью взять под контроль выполнение ПО, украсть данные или помешать работе программного обеспечения.
В опубликованном списке подробно разбирается каждый из 25 видов ошибок, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок. Ниже краткое описание 10 самых опасных уязвимостей:
CWE-119 — Выполнение операций за пределами буфера памяти (Improper Restriction of Operations within the Bounds of a Memory Buffer). Оценка 75,56 балла.
CWE-79 — Некорректная нейтрализация входных данных при генерировании web-страниц (Межсайтовое выполнение сценариев) (Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)) Оценка 45,69 балла.
CWE-20 — Некорректная проверка входных данных (Improper Input Validation). Оценка 43,61 балла.
CWE-200 — Разглашение информации (Information Exposure). Оценка 32,12 балла.
CWE-125 — Чтение за пределами буфера (Out-of-bounds Read). Оценка 26,53 балла.
CWE-89 — Некорректная нейтрализация специальных элементов, используемых в SQL-командах (Внедрение SQL)(Improper Neutralization of Special Elements used in an SQL Command (SQL Injection)). Оценка 24,54 балла.
CWE-416 — Использование после освобождения (Use After Free). Оценка 17,94 балла.
CWE-190 — Целочисленное переполнение или циклический возврат (Integer Overflow or Wraparound). Оценка 17,35 балла.
CWE-352 — Межсайтовая подмена запросов (Cross-Site Request Forgery, CSRF). Оценка 15,54 балла.
CWE-22 — Некорректные ограничения путей для каталогов (Подмена пути)(Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)). Оценка 14,10 балла.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках