Rapport sur les 25 faiblesses logicielles les plus dangereuses répertoriées par CWE
Ce rapport affiche les 25 faiblesses logicielles les plus dangereuses de Common Weakness Enumeration (CWE™) trouvées sur votre site. Le Top 25 CWE est une ressource de communauté précieuse qui peut aider les développeurs, les testeurs et les utilisateurs (ainsi que les chefs de projet, les chercheurs en sécurité et les éducateurs) à se faire une idée des faiblesses de sécurité les plus graves et les plus actuelles.
Pourquoi est-ce important
Le rapport CWE sur les 25 faiblesses logicielles les plus dangereuses est une liste des erreurs de programmation les plus graves pouvant entraîner des vulnérabilités logicielles graves. Ces faiblesses sont dangereuses, car elles sont souvent faciles à trouver, à exploiter et peuvent permettre à l'ennemi de prendre complètement le contrôle d'un système, de voler des données ou d'empêcher une application de fonctionner.Il s'agit d'une brève liste des faiblesses du Top 25 CWE 2021.
| Rang | ID | Nom |
|---|---|---|
| 1 | CWE-787 | Écriture hors limites |
| 2 | CWE-79 | Neutralisation incorrecte de l'entrée pendant la génération de page Web ("Scriptage intersite") |
| 3 | CWE-125 | Lecture hors limites |
| 4 | CWE-20 | Mauvaise validation des entrées |
| 5 | CWE-78 | Neutralisation incorrecte des éléments spéciaux utilisés dans une commande OS ('Injection de commandes OS') |
| 6 | CWE-89 | Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL ('Injection SQL') |
| 7 | CWE-416 | Utiliser après la gratuité |
| 8 | CWE-22 | Limitation incorrecte d'un nom de chemin à un répertoire restreint ('Traversée de répertoires') |
| 9 | CWE-352 | Falsification de requêtes intersite (CSRF) |
| 10 | CWE-434 | Téléchargement amont non restreint d'un fichier de type dangereux |
| 11 | CWE-306 | Absence d'authentification pour une fonction critique |
| 12 | CWE-190 | Dépassement ou bouclage d'entier |
| 13 | CWE-502 | Désérialisation de données non fiables |
| 14 | CWE-287 | Authentification incorrecte |
| 15 | CWE-476 | Déréférencement du pointeur NULL |
| 16 | CWE-798 | Utilisation de données d'identification codées en dur |
| 17 | CWE-119 | Restriction incorrecte des opérations dans les limites d'une mémoire tampon |
| 18 | CWE-862 | Autorisation manquante |
| 19 | CWE-276 | Autorisations par défaut incorrectes |
| 20 | CWE-200 | Exposition d'informations sensibles à un acteur non autorisé |
| 21 | CWE-522 | Données d'identification protégées insuffisantes |
| 22 | CWE-732 | Octroi de permission non sécurisée sur une ressource clé du programme |
| 23 | CWE-611 | Restriction incorrecte de référence d'entité externe XML |
| 24 | CWE-918 | Server-Side Request Forgery (SSRF) |
| 25 | CWE-77 | Neutralisation incorrecte des éléments spéciaux utilisés dans une commande ('Injection de commandes') |