2023年最具威胁的25种安全漏洞(CWE TOP 25)

威胁,安全漏洞,cwe,top · 浏览次数 : 265

小编点评

**CWE Top 25 是一个分析美国国家漏洞数据库(NVD)中公共漏洞数据的工具,用于计算 CWE 弱点的根本原因映射。** **主要特点:** * 通过分析 NVD 中的漏洞数据,计算 CWE 弱点的根本原因。 * 趋势分析,帮助组织在漏洞管理方面做出更好的投资和政策决策。 * 提供CWE 2023 最具威胁的 25种漏洞数据。 **CWE Top 25 的重要性:** * CWE 弱点的根本原因分析可以帮助程序员识别软件中的潜在漏洞。 * CWE 漏洞数据的趋势分析可以帮助组织在漏洞扫描和安全更新方面做出更明智的决策。 * CWE Top 25 是一个方便且实用的资源,可以帮助组织降低软件漏洞的风险。 **CWE 2023 最具威胁的 25种漏洞:** * CWE-416: 资源消耗漏洞 * CWE-862: 授权机制缺失漏洞 * CWE-269: 特权管理不恰当漏洞 * CWE-863: 授权机制不正确漏洞 * CWE-276: 缺省权限不正确漏洞 * CWE-400: 未加控制的资源消耗漏洞 * CWE-611: XML 外部实体引用的不恰当限制漏洞 * CWE-798: 使用硬编码的凭证漏洞

正文

摘要: CWE Top 25 是通过分析美国国家漏洞数据库(NVD)中的公共漏洞数据来计算的,以获取前两个日历年 CWE 弱点的根本原因映射。

本文分享自华为云社区《2023年最具威胁的25种安全漏洞(CWE TOP 25)》,作者: Uncle_Tom 。

CWE Top 25 是通过分析美国国家漏洞数据库(NVD)中的公共漏洞数据来计算的,以获取前两个日历年 CWE 弱点的根本原因映射。这些弱点会导致软件中的严重漏洞。攻击者通常可以利用这些漏洞来控制受影响的系统、窃取数据或阻止应用程序运行。对此类漏洞数据进行趋势分析使组织能够在漏洞管理方面做出更好的投资和政策决策。许多处理软件的专业人士会发现CWE Top25帮助降低风险的方便且实用资源。

1. CWE 4.12发布

最近几年,每年6月CWE发布的版本都成为一年中最重要的版本,因为里面包含了新的CWE TOP 25 视图,也就是我们常说的:CWE最具威胁的25种缺陷。

CWE 4.12 在6月29号发布,里面包含了重要的2023年TOP25视图: CWE-1425。同时这次的TOP 25还包括从美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency’s (CISA))已知被利用漏洞(Known Exploited Vulnerabilities (KEV)) 目录中观察到的示例,以显示与现实世界漏洞的相关性。

另一个重要的变动是在所有 CWE 条目中添加了一个新的节点 - 漏洞映射说明(Mapping_Notes)。这些说明将使用户能够更准确地将漏洞(例如 CVE)映射到其根本原因弱点。以前,映射注释仅在“注释”部分中可用于少数 CWE 条目。为此新版本的CWE,将原有的xml的schema从6.9升级到7.0, 用于完善这个节点的定义。

2. CWE新的节点 – 漏洞映射说明(Mapping_Notes)

我们从cwe_schema_v7.0.xsd中可以看到,新增加的节点"Mapping_Notes"的定义类型为:

“cwe:MappingNotesType”。
<xs:element name="Mapping_Notes" type="cwe:MappingNotesType" minOccurs="0" maxOccurs="1"/>

再看"MappingNotesType"的具体定义为:

<xs:complexType name="MappingNotesType">
<xs:annotation>
<xs:documentation>The MappingNotesType complex type provides guidance for when (and whether) to map an issue to this CWE entry or to suggest alternatives. The Usage element describes whether the CWE should be used for mapping vulnerabilities to their underlying weaknesses as part of root cause analysis. The Rationale element provides context for the Usage. The Comments element provides further clarification to the reader. The Reasons element uses a limited vocabulary to summarize the Usage. The Suggestions element includes suggestions for additional CWEs that might be more appropriate for the mapping task.</xs:documentation>
</xs:annotation>
<xs:sequence>
 <xs:element name="Usage" type="cwe:UsageEnumeration"  minOccurs="1" maxOccurs="1"/>
<xs:element name="Rationale" type="cwe:StructuredTextType"  minOccurs="1" maxOccurs="1"/>
<xs:element name="Comments" type="cwe:StructuredTextType" minOccurs="1" maxOccurs="1"/>
 <xs:element name="Reasons" type="cwe:ReasonsType" minOccurs="1" maxOccurs="1"/>
 <xs:element name="Suggestions" type="cwe:SuggestionsType" minOccurs="0" maxOccurs="1"/>
</xs:sequence>
</xs:complexType>

从这个定义可以看出在"Mapping_Notes"节点下,还有5个子节点,其中"Usage",“Rationale”,“Comments”,"Reasons"是强制必须有的节点,"Suggestions"为可选节点。

这个节点信息的增加,将为我们在CWE与缺陷映射时,提供极大的帮助,以提高映射的准确性。

CWE的工作者们已经意识到CWE与缺陷的映射时出现的重叠或CWE之间存在模糊的交集,会给缺陷分类带来很多的困惑,最最近的几个版本中,正试图通过增加节点以及映射说明,逐步的修正这个问题。特别是CWE 4.11中添加了新的软件保障趋势视图综合分类:CWE-1400,将所有弱点分组(如“内存安全”),以便于分析软件保障中的趋势和优先级。

3. CWE 2023 TOP 25

CWE Top 25 是通过分析美国国家标准与技术研究院(National Institute of Standards and Technology(NIST)) 美国国家漏洞数据库(U.S. National Vulnerability Database(NVD))中的公共漏洞数据来计算的,以获取前两个日历年 CWE 弱点的根本原因映射。这些弱点会导致软件中的严重漏洞。攻击者通常可以利用这些漏洞来控制受影响的系统、窃取数据或阻止应用程序运行。

2023年 CWE TOP25 包含最近常见漏洞和披露(Common Vulnerabilities and Exposures (CVE))记录的更新弱点数据,这些数据是网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency’s (CISA))已知被利用漏洞(Known Exploited Vulnerabilities (KEV)) 目录的一部分。

CWE 通过分析2021到2022年报告的43,996个CVE漏洞,得到了2023 最具威胁的25种漏洞。

对此类漏洞数据进行趋势分析使组织能够在漏洞管理方面做出更好的投资和政策决策。许多处理软件的专业人士会发现 CWE Top 25 是帮助降低风险的实用且方便的资源。

  • 2023 CWE TOP25排行

3.1. 缺陷变动情况

  • 名单中上升最快的是:

    • CWE-416:释放后使用, 从 #7 上升到 #3;
    • CWE-862:授权机制缺失, 从 #16 上升到 #11;
    • CWE-269:特权管理不恰当, 从 #29 上升到 #22;
    • CWE-863:授权机制不正确, 从 #28 上升到 #24。
  • 名单中跌幅最大的是:

    • CWE-502:不可信数据的反序列化, #12 降为 #15;
    • CWE-798:使用硬编码的凭证, 从 #15 降为 #18;
    • CWE-276:缺省权限不正确, 从 #20 降为 #25。
  • 前25名中的新进缺陷是:

    • CWE-269:特权管理不恰当, 从 #29 上升到 #22;
    • CWE-863:授权机制不正确, 从 #28 上升到 #24。
  • 跌出前25名的缺陷是:

    • CWE-400:未加控制的资源消耗(资源耗尽), 从 #23 跌到 #37;
    • CWE-611:XML外部实体引用的不恰当限制(XXE), 从 #24 跌到 #28。

 

点击关注,第一时间了解华为云新鲜技术~

与2023年最具威胁的25种安全漏洞(CWE TOP 25)相似的内容:

2023年最具威胁的25种安全漏洞(CWE TOP 25)

摘要: CWE Top 25 是通过分析美国国家漏洞数据库(NVD)中的公共漏洞数据来计算的,以获取前两个日历年 CWE 弱点的根本原因映射。 本文分享自华为云社区《2023年最具威胁的25种安全漏洞(CWE TOP 25)》,作者: Uncle_Tom 。 CWE Top 25 是通过分析美国国家

2023 年微服务后端开发的 11 个最佳工具

前言 微服务架构以将复杂的应用程序分解为易管理的服务而闻名,然而,管理微服务是一项具有挑战性的任务。为了确保开发工作流程的高效性,需要采用特定的工具。 在本文中,小编将为您介绍2023年最热的11款后端微服务开发工具,并全面介绍它们的基本功能和常见用例。不论您是经验丰富的微服务开发人员,还是初涉微服

平台工程101:Dev、Sec和Ops的自动化黏合剂

国际权威知名调研机构 Gartner 在《2023年最重要的10个技术趋势》报告中将平台工程(Platform Engineering)列为高速发展的技术趋势之一,并预测到2026年80%的软件企业都将搭建平台团队以为内部的工程师提供可复用的服务、组件以及工具来帮助应用交付。 图源:Gartner

2023年 DevOps 七大趋势

随着时间的推移,很明显 DevOps 已经成为最高效的敏捷框架中的无人不知晓的名字。越来越多的企业(包括各类规模企业)正在采用 DevOps 方法来简化其运营效率。DevOps 的新时代趋势已经见证了其使用率的持续上升。 由于需求的变化和现代软件的复杂性,如今的公司需要各种各样的平台和操作系统,因此

HelloGitHub 最受欢迎的开源项目 Top10(2022年)

再见 2022,你好 2023! HelloGitHub 也随着 2023 年的到来,更新到了第 81 期 开始迈向第 7 个年头啦。 在过去的 2022 年,我们一共发布了 12 期月刊、分享了 5

Sementic Kernel 案例之网梯科技在线教育

2023年4月25日,微软公布了2023年第一季度财报,营收528亿美元, 微软CEO纳德称,「世界上最先进的AI模型与世界上最通用的用户界面——自然语言——相结合,开创了一个新的计算时代。」该公司有近2500位Azure-OpenAI 服务客户,并称AI已被整合到多种产品中。 微软杀疯了!接入Ch

面试日记 | 移动咪咕

> 2023年校招,前沿技术规划 ## 笔试 移动校招统一笔试 ## 一面 > 群面,上午 + 逐个自我介绍 + 提问,逐个回答 + 最讨厌的人 + 比较关注的前言技术 + 抢答 + 近期做过的自豪的事 ## 二面 > 单人,下午 + 自我介绍 + 介绍一下隐私计算 + 介绍一下对元宇宙的理解 +

Debian12安装.NET7 SDK

Debian,作为最受欢迎的 Linux 发行版之一,于 2023 年 6 月 10 日正式发布了其最新版本 Debian 12,代号“Bookworm”。Debian 12 带来了许多新特性和改进,其中最引人注目的是 Linux 内核的升级,从之前的 5.10 LTS 升级到了 6.1。 这两天尝

Java 21 正式 GA,虚拟线程真的来了

UTC 时间 2023 年 9 月 19 日,期盼已久的 Java 21 终于发布正式版! 本文一起来看看其中最受 Java 开发者关注的一项新特性:Loom 项目的两个新特性之一的 ”虚拟线程(Virtual Thread)“(另外一个新特性是 ”结构化并发(Structured Concurre

ECMA 2023(ES14) 新特性

ECMAScript 2023 主要包含内容 ECMAScript 2023 于 2023 年 6 月 27 日获得 ECMA International 的批准。 ECMAScript 是标准化的 JavaScript 语言,于 1997 年发布了第一版,现已发展成为世界上使用最广泛的通用编程语言