Catégories
Start-up et applications

CWE: XSS et out-of-bounds écrivent les faiblesses logicielles les plus dangereuses de 2020

L'énumération des faiblesses communes (CWE) a publié son rapport 2020 «Top 25 des faiblesses logicielles les plus dangereuses», qui a révélé une neutralisation incorrecte des entrées lors de la génération de pages Web, également connue sous le nom de script intersite (XSS), et l'écriture hors limites , où la faiblesse la plus dangereuse.

Avec les scripts intersites, les logiciels ne neutralisent pas ou ne neutralisent pas correctement les entrées contrôlables par l'utilisateur avant qu'elles ne soient placées en sortie, utilisées comme page Web et servies à d'autres utilisateurs. Une fois le script malveillant injecté, l'attaquant peut effectuer diverses activités malveillantes.

Dans la vulnérabilité d'écriture hors limites, le logiciel écrit les données au-delà de la fin, ou avant le début, de la mémoire tampon prévue, ce qui peut entraîner la corruption des données, un crash ou l'exécution de code.

"Ces faiblesses sont dangereuses car elles sont souvent faciles à trouver, à exploiter et peuvent permettre à des adversaires de prendre complètement le contrôle d'un système, de voler des données ou d'empêcher une application de fonctionner", a écrit CWE dans un Publier qui contient toute la liste.

Une validation d'entrée incorrecte, une lecture hors limites et une restriction incorrecte des opérations dans les limites de la mémoire tampon ont été classées de la 3e à la 5e plus grande vulnérabilité.

Le plus grand changement depuis l’année dernière a été que CWE a relevé des faiblesses plus spécifiques et a abaissé des faiblesses abstraites au niveau des classes, affirmant que cela profiterait grandement aux utilisateurs qui tentent de comprendre les problèmes réels qui menacent les systèmes actuels.

Les changements les plus importants dans la liste concernaient quatre faiblesses liées à l'authentification et à l'autorisation, telles que: les informations d'identification insuffisamment protégées sont passées du numéro 27 à 18, l'authentification manquante pour les fonctions critiques déplacée du point 36 au 24 et l'autorisation manquante est passée de 34 à 25 .

«Une théorie à propos de ce mouvement est que la communauté a amélioré ses capacités d'éducation, d'outillage et d'analyse liées à certaines des faiblesses les plus spécifiques à la mise en œuvre identifiées dans les éditions précédentes du CWE Top 25 et a réduit l'occurrence de celles-ci, abaissant ainsi leur classement. , et à son tour rehausser le classement de ces faiblesses plus difficiles », a déclaré CWE.

Les données sur les vulnérabilités ont été recueillies à partir de trois grandes bases de données sur les vulnérabilités de sécurité (l'Institut national des normes et de la technologie, la base de données nationale sur les vulnérabilités et le système commun de notation des vulnérabilités) et notées en fonction de la prévalence et de la gravité.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *