A 25 leggyakoribb biztonsági rés

Biztonsági kutatók összegyűjtötték azt a 25 leggyakoribb biztonsági problémát, amelyek a szoftvereket támadhatóvá teszik.
 

A MITRE Corporation közzétette a CWE (Common Weakness Enumeration) Top 25 listáját, amelyben a legveszélyesebb és egyben leggyakoribb szoftveres sérülékenységeket gyűjtötte össze. Ilyen listát már 2011-ben is készített, de akkor elsősorban fejlesztők, biztonsági szakemberek megkérdezésével mérte fel a biztonsági résekkel kapcsolatos trendeket. Ezúttal pedig az NVD (National Vulnerability Database) adatbázis szolgált a felmérés alapjául.
 
A toplista
 
A CWE alapvetően több mint 600 különféle kategóriát tartalmaz, amelyek közül a MITRE a 25 leggyakoribb sérülékenységtípust emelte ki. A toplistából kiderül, hogy továbbra is a memóriakezelési rendellenességek (például a puffertúlcsordulási hibák) jelentik a legnagyobb kockázatot. A második helyre az XSS (Cross-site Scripting) sebezhetőségek kerültek, amelyek elsősorban nagy számuk miatt érdemelték ki az „előkelő” helyet. A képzeletbeli dobogó harmadik fokát pedig a bemeneti adatok nem megfelelő ellenőrzésére visszavezethető hibák foglalják el.
 
A toplista további szereplői között megtaláljuk az adatszivárogtatásra lehetőséget adó sebezhetőségeket, a CSRF támadásokra módot adó hibákat, de az első tízbe még a path traversal típusú sérülékenységek is befértek. Ez utóbbiak jogosulatlan fájlhozzáférésre adhatnak lehetőséget.
 
A 25-ös lista olyan problémákat is felvonultat, mint az XML-állományok nem megfelelő feldolgozása, a nem biztonságos fájlfeltöltések, a forráskódba "égetett" hitelesítő adatok vagy éppen a digitális tanúsítványok nem kellő szintű ellenőrzése.
 
A teljes toplista a MITRE weboldalán tekinthető meg.
Vélemények
 
  1. 3

    A PHP kapcsán egy közepes veszélyességű sebezhetőségre derült fény.

  2. 2

    Az OpenSSH fejlesztői biztonsági hibajavítást tettek elérhetővé.

  3. 1

    A Theaabo trójai sok funkcióval képes támogatni a kiberbűnözők által végrehajtott károkozásokat.

 
Partnerhírek
Módosított pályázati kiírás - az „Év információvédelmi szak- és diplomadolgozata - 2020” cím elnyerésére

A Hétpecsét Információbiztonsági Egyesület 2020 évre is meghirdeti az „Év információvédelmi szak- és diplomadolgozata - 2020” címet.

667%-kal nőtt a koronavírushoz kapcsolódó támadások száma – az ESET meghosszabbítja ingyenes akcióját

A koronavírus terjedése miatt egyre nagyobb mértékben támaszkodunk digitális megoldásokra a mindennapi életünk során.

hirdetés
Közösség
1