Новое исследование раскрывает тревожную статистику самых частых уязвимостей.
Согласно новому анализу Dogesec, на протяжении последних лет разработчики продолжают допускать ошибки в безопасности, включая хранение паролей прямо в исходном коде, что ставит под угрозу безопасность ПО. С октября 2023 по сентябрь 2024 года было выявлено 37 439 уязвимостей, из которых 35 346 получили специальные коды CWE, что охватывает 520 уникальных типов ошибок.
Самой распространенной уязвимостью стала CWE-79 – XSS (межсайтовый скриптинг), на долю которой пришлось 6006 случаев — около 17% от всех зарегистрированных.
Уязвимости типа SQL-инъекции (CWE-89) является основополагающим для веб-безопасности и регулярно упоминается в рекомендациях по разработке безопасного кода, включая OWASP.
Другие часто встречающиеся слабости включают CWE-352 (Cross-Site Request Forgery, CSRF), CWE-787 (Out-of-bounds Write, запись за пределы буфера), CWE-862 (Missing Authorization, отсутствие авторизации) и CWE-22 (Path Traversal, обход ограничения пути).
Среди базовых ошибок:
Данные уязвимости в основном затрагивают как крупных, так и мелких производителей, включая Cisco и IBM, а также оборудование, прошивки которого сложнее обновлять для устранения подобных проблем.
Данные показывают, что устранение уязвимостей XSS и SQL-инъекции по-прежнему остаётся важной задачей. Разработчики должны уделять внимание предотвращению хранения чувствительных данных в коде, а производители прошивок — внедрению более надежных механизмов защиты в свои продукты
Разбираем кейсы, делимся опытом, учимся на чужих ошибках