CWE 最危险的 25 个软件弱点 (CWE Top 25) 报告
此报告显示的是可在您的站点上找到的常见弱点枚举 (CWE™) 最危险的 25 个软件弱点。CWE Top 25 报告是一项宝贵的社区资源,可帮助开发者、测试人员和用户(以及项目经理、安全团队和团队)洞察当前最严重的安全漏洞。
它为什么重要
CWE 最危险的 25 个软件弱点报告列出了可能导致严重软件漏洞的最严重的编程错误。这些弱点十分危险,因为它们通常很容易被发现、利用,并可能使攻击者完全控制系统、窃取数据或阻止应用程序运行。以下是 2021 CWE Top 25 报告中所列弱点的简要列表。
| 排名 | ID | 名称 |
|---|---|---|
| 1 | CWE-787 | 越界写入 |
| 2 | CWE-79 | 对 Web 页面生成期间的输入的清理不当(“跨站点脚本编制”) |
| 3 | CWE-125 | 越界读取 |
| 4 | CWE-20 | 输入验证不当 |
| 5 | CWE-78 | 对操作系统命令中使用的特殊元素清理不当(“操作系统命令注入”) |
| 6 | CWE-89 | 对 SQL 命令中使用的特殊元素清理不当(“SQL 注入”) |
| 7 | CWE-416 | 释放后再使用 |
| 8 | CWE-22 | 不当地将路径名限制为受限目录(“路径遍历”) |
| 9 | CWE-352 | 跨站点请求伪造 (CSRF) |
| 10 | CWE-434 | 未限制上载危险类型文件 |
| 11 | CWE-306 | 关键功能缺少认证 |
| 12 | CWE-190 | 整数溢出或回绕 |
| 13 | CWE-502 | 反序列化不可信数据 |
| 14 | CWE-287 | 认证不当 |
| 15 | CWE-476 | 空指针取消引用 |
| 16 | CWE-798 | 使用硬编码凭证 |
| 17 | CWE-119 | 没能将内存操作限制在边界范围内 |
| 18 | CWE-862 | 缺少授权 |
| 19 | CWE-276 | 缺省权限不正确 |
| 20 | CWE-200 | 向未经授权的参与者公开敏感信息 |
| 21 | CWE-522 | 不充分的凭证保护机制 |
| 22 | CWE-732 | 关键资源的许可权指定不正确 |
| 23 | CWE-611 | 对外部实体 XML 引用的限制不当 |
| 24 | CWE-918 | 服务器端请求伪造 (SSRF) |
| 25 | CWE-77 | 对命令中使用的特殊元素中和不当(“命令注入”) |