A 25 leggyakoribb biztonsági rés

Biztonsági kutatók összegyűjtötték azt a 25 leggyakoribb biztonsági problémát, amelyek a szoftvereket támadhatóvá teszik.
 

A MITRE Corporation közzétette a CWE (Common Weakness Enumeration) Top 25 listáját, amelyben a legveszélyesebb és egyben leggyakoribb szoftveres sérülékenységeket gyűjtötte össze. Ilyen listát már 2011-ben is készített, de akkor elsősorban fejlesztők, biztonsági szakemberek megkérdezésével mérte fel a biztonsági résekkel kapcsolatos trendeket. Ezúttal pedig az NVD (National Vulnerability Database) adatbázis szolgált a felmérés alapjául.
 
A toplista
 
A CWE alapvetően több mint 600 különféle kategóriát tartalmaz, amelyek közül a MITRE a 25 leggyakoribb sérülékenységtípust emelte ki. A toplistából kiderül, hogy továbbra is a memóriakezelési rendellenességek (például a puffertúlcsordulási hibák) jelentik a legnagyobb kockázatot. A második helyre az XSS (Cross-site Scripting) sebezhetőségek kerültek, amelyek elsősorban nagy számuk miatt érdemelték ki az „előkelő” helyet. A képzeletbeli dobogó harmadik fokát pedig a bemeneti adatok nem megfelelő ellenőrzésére visszavezethető hibák foglalják el.
 
A toplista további szereplői között megtaláljuk az adatszivárogtatásra lehetőséget adó sebezhetőségeket, a CSRF támadásokra módot adó hibákat, de az első tízbe még a path traversal típusú sérülékenységek is befértek. Ez utóbbiak jogosulatlan fájlhozzáférésre adhatnak lehetőséget.
 
A 25-ös lista olyan problémákat is felvonultat, mint az XML-állományok nem megfelelő feldolgozása, a nem biztonságos fájlfeltöltések, a forráskódba "égetett" hitelesítő adatok vagy éppen a digitális tanúsítványok nem kellő szintű ellenőrzése.
 
A teljes toplista a MITRE weboldalán tekinthető meg.