「CWE Top 25 最危險的軟體弱點」報告
這份報告會顯示在您的網站上找到的「常見弱點列舉 (CWE™) 前 25 大最危險的軟體弱點」。CWE Top 25 是一項寶貴的社群資源,可協助開發人員、測試人員和使用者(以及專案經理、安全性研究人員和教育人員)深入瞭解最嚴重和目前的安全性弱點。
重要性
「CWE Top 25 最危險的軟體弱點」報告是一份最重要的程式設計錯誤清單,這些錯誤可能導致嚴重的軟體漏洞。這些弱點很危險,因為它們通常很容易尋找、惡意探索,而且可能會讓攻擊者完全接管系統、竊取資料,或使應用程式無法運作。這是 2021 CWE Top 25 中的弱點簡要清單。
| 等級 | ID | 名稱 |
|---|---|---|
| 1 | CWE-787 | 超出範圍寫入 |
| 2 | CWE-79 | 不當摧毀產生網頁期間的輸入(跨網站 Scripting) |
| 3 | CWE-125 | 超出範圍讀取 |
| 4 | CWE-20 | 輸入驗證不適當 |
| 5 | CWE-78 | 不當摧毀作業系統指令中使用的特殊元素(作業系統指令注入) |
| 6 | CWE-89 | 不當摧毀 SQL 指令中使用的特殊元素(SQL 注入) |
| 7 | CWE-416 | 可用之後使用 |
| 8 | CWE-22 | 不當限制受限目錄的路徑名稱(路徑遍訪) |
| 9 | CWE-352 | 偽造跨網站要求 (CSRF) |
| 10 | CWE-434 | 未限定上傳危險類型的檔案 |
| 11 | CWE-306 | 遺漏鑑別重要功能 |
| 12 | CWE-190 | 整數溢位或折返 |
| 13 | CWE-502 | 不受信任資料的解除序列化 |
| 14 | CWE-287 | 不當鑑別 |
| 15 | CWE-476 | 空值指標解除參照 |
| 16 | CWE-798 | 使用寫在程式中的認證 |
| 17 | CWE-119 | 在記憶體緩衝區範圍內不當限制作業 |
| 18 | CWE-862 | 遺漏授權 |
| 19 | CWE-276 | 預設權限不正確 |
| 20 | CWE-200 | 將機密資訊洩露給未獲授權的動作者 |
| 21 | CWE-522 | 未充分保護的認證 |
| 22 | CWE-732 | 重要資源的許可權指派不正確 |
| 23 | CWE-611 | 不適當限制 XML 外部實體參照 |
| 24 | CWE-918 | 偽造伺服器端要求 (SSRF) |
| 25 | CWE-77 | 不當中性化指令中使用的特殊元素(「指令注入」) |