时隔8年,CWE发布了25条最危险的软件编码错误。值得D站的每一个年轻人深度学习。这25条建议是导致软件严重漏洞的最频繁发生的关键错误。
简言之——
必看,
必学,
必自省!
任何一个敲代码的都要重视这些错误,攻击者通常利用这些漏洞来控制系统、获取敏感信息或导致拒绝服务的情况。
25个太长,不妨先看前5个。排名第一的是“对内存缓冲区内的操作限制不当”,在CWE中的编号为CWE-119。为什么该类型的错误荣登榜首?因为在CVE中,就是在广泛认同的信息安全漏洞或者已经暴露出来的漏洞中,有高达4277个可被利用的漏洞爆出,不可不防。NVD则是把CVE再加上其他分析及数据。
| Rank | ID | Name | NVD 数量 |
|---|---|---|---|
| [1] | CWE-119 | 对内存缓冲区内的操作限制不当 | 3545 |
| [2] | CWE-79 | 跨站脚本 | 3430 |
| [3] | CWE-20 | 输入验证不当 | 2360 |
| [4] | CWE-200 | 信息泄露 | 2300 |
| [5] | CWE-125 | 越界读取 | 1428 |
| [6] | CWE-89 | SQL注入 | 977 |
| [7] | CWE-416 | 内存释放后使用 | 799 |
| [8] | CWE-190 | 整数溢出 | 867 |
| [9] | CWE-352 | 跨站点请求伪造 (CSRF) | 693 |
| [10] | CWE-22 | 非法文件目录访问 ('路径遍历') | 759 |
| [11] | CWE-78 | OS 命令注入 | 486 |
| [12] | CWE-787 | 越界读写 | 510 |
| [13] | CWE-287 | 不当身份验证 | 495 |
| [14] | CWE-476 | 空指针引用 | 572 |
| [15] | CWE-732 | 关键资源的权限分配不当 | 334 |
| [16] | CWE-434 | 不受限制的文件传输 | 239 |
| [17] | CWE-611 | 对XML外部实体引用的不适当限制 | 262 |
| [18] | CWE-94 | 代码注入 | 230 |
| [19] | CWE-798 | 使用硬编码的凭证 | 215 |
| [20] | CWE-400 | 不受控制的资源消耗 | 288 |
| [21] | CWE-772 | 资源未被释放 | 304 |
| [22] | CWE-426 | 不可信的搜索路径 | 215 |
| [23] | CWE-502 | 不可信数据的反序列化 | 177 |
| [24] | CWE-269 | 权限管理不当 | 226 |
| [25] | CWE-295 | 不适当的证书验证 | 248 |
来源:https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html 英文好的直接看,后续将写文举例说明。