CWE 上位 25 の最も危険なソフトウェアの脆弱性レポート
このレポートには、ユーザーのサイトで検出される共通脆弱性タイプ一覧 (CWE™) 上位 25 の最も危険なソフトウェアの脆弱性が表示されます。CWE 上位 25 は、開発者、テスター、ユーザーだけでなくプロジェクト・マネージャー、セキュリティー研究者、教育者が、最も重大な最新のセキュリティーの脆弱性に関するインサイトを得るのに役立つ、貴重なコミュニティー・リソースです。
問題点
CWE 上位 25 の最も危険なソフトウェアの脆弱性レポートは、重大なソフトウェアの脆弱性につながる可能性のある最も重大なプログラミング・エラーのリストです。これらの脆弱性は多くの場合、容易に発見され、悪用され、攻撃者にシステムを完全に乗っ取られたり、データを盗まれたり、アプリケーションが機能しなくなったりする可能性があるため危険です。以下は、2021 年の CWE 上位 25 の脆弱性を簡単にリストしたものです。
| Rank | ID | 名前 |
|---|---|---|
| 1 | CWE-787 | 範囲外の書き込み |
| 2 | CWE-79 | Web ページ生成時の入力の不適切な中立化 (「クロスサイト・スクリプティング」) |
| 3 | CWE-125 | 範囲外の読み取り |
| 4 | CWE-20 | 不適切な入力の検証 |
| 5 | CWE-78 | OS コマンドで使用される特殊要素の不適切な中立化 (「OS コマンド注入」) |
| 6 | CWE-89 | SQL コマンドで使用される特殊要素の不適切な中立化 (「SQL 注入」) |
| 7 | CWE-416 | 解放後の使用 |
| 8 | CWE-22 | 制限されたディレクトリーへのパス名の不適切な制限 (「パス・トラバーサル」) |
| 9 | CWE-352 | クロスサイト・リクエスト・フォージェリー (CSRF) |
| 10 | CWE-434 | 危険なタイプのファイルの無制限なアップロード |
| 11 | CWE-306 | 重大な機能に関する認証の欠落 |
| 12 | CWE-190 | 整数オーバーフローまたは循環 |
| 13 | CWE-502 | 信頼できないデータの非直列化 |
| 14 | CWE-287 | 不適切な認証 |
| 15 | CWE-476 | NULL ポインターの逆参照 |
| 16 | CWE-798 | ハードコーディングされた資格情報の使用 |
| 17 | CWE-119 | メモリー・バッファー境界内での不適切な操作制限 |
| 18 | CWE-862 | 許可の欠落 |
| 19 | CWE-276 | 正しくないデフォルト権限 |
| 20 | CWE-200 | 権限のないアクターへの機密情報の漏えい |
| 21 | CWE-522 | 十分に保護されていない資格情報 |
| 22 | CWE-732 | クリティカル・リソースに関する誤ったアクセス権割り当て |
| 23 | CWE-611 | XML 外部エンティティー参照の不適切な制限 |
| 24 | CWE-918 | サーバー・サイド・リクエスト・フォージェリー (SSRF) |
| 25 | CWE-77 | コマンドで使用される特殊要素の不適切な中立化 (「コマンド注入」) |