Топ 25 самых опасных уязвимостей 2019 года

Топ 25 самых опасных уязвимостей 2019 года

Их эксплуатация позволяет полностью взять под контроль выполнение ПО, украсть данные или помешать работе программного обеспечения.

На сайте Common Weakness Enumeration (CWE) опубликован свежий список наиболее опасных ошибок программирования 2019 года. 2019 CWE Top 25 Most Dangerous Software Errors — демонстрационный список наиболее распространенных и критических уязвимостей, которые могут привести к серьезным проблемам в программном обеспечении. Их эксплуатация часто позволяет злоумышленникам полностью взять под контроль выполнение программного обеспечения, украсть данные или помешать работе программного обеспечения.

В опубликованном списке подробно разбирается каждый из 25 видов ошибок, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок. Ниже краткое описание 10 самых опасных уязвимостей:

  1. CWE-119 — Выполнение операций за пределами буфера памяти (Improper Restriction of Operations within the Bounds of a Memory Buffer). Оценка 75,56 балла.

  2. CWE-79 — Некорректная нейтрализация входных данных при генерировании web-страниц (Межсайтовое выполнение сценариев) (Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)) Оценка 45,69 балла.

  3. CWE-20 — Некорректная проверка входных данных (Improper Input Validation). Оценка 43,61 балла.

  4. CWE-200 — Разглашение информации (Information Exposure). Оценка 32,12 балла.

  5. CWE-125 — Чтение за пределами буфера (Out-of-bounds Read). Оценка 26,53 балла.

  6. CWE-89 — Некорректная нейтрализация специальных элементов, используемых в SQL-командах (Внедрение SQL)(Improper Neutralization of Special Elements used in an SQL Command (SQL Injection)). Оценка 24,54 балла.

  7. CWE-416 — Использование после освобождения (Use After Free). Оценка 17,94 балла.

  8. CWE-190 — Целочисленное переполнение или циклический возврат (Integer Overflow or Wraparound). Оценка 17,35 балла.

  9. CWE-352 — Межсайтовая подмена запросов (Cross-Site Request Forgery, CSRF). Оценка 15,54 балла.

  10. CWE-22 — Некорректные ограничения путей для каталогов (Подмена пути)(Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)). Оценка 14,10 балла.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!