Rapport CWE Top 25 des faiblesses logicielles les plus dangereuses 2023
Ce rapport affiche les 25 faiblesses logicielles les plus dangereuses de Common Weakness Enumeration (CWE™) trouvées sur votre site. Le Top 25 CWE est une ressource de communauté précieuse qui peut aider les développeurs, les testeurs et les utilisateurs (ainsi que les chefs de projet, les chercheurs en sécurité et les éducateurs) à se faire une idée des faiblesses de sécurité les plus graves et les plus actuelles.
Pourquoi est-ce important
Le rapport CWE sur les 25 faiblesses logicielles les plus dangereuses est une liste des erreurs de programmation les plus graves pouvant entraîner des vulnérabilités logicielles graves. Ces faiblesses sont dangereuses, car elles sont souvent faciles à trouver, à exploiter et peuvent permettre à l'ennemi de prendre complètement le contrôle d'un système, de voler des données ou d'empêcher une application de fonctionner.| Rang | ID | Nom |
|---|---|---|
| 1 | CWE-787 | Écriture hors limites |
| 2 | CWE-79 | Neutralisation incorrecte de l'entrée pendant la génération de page Web ("Scriptage intersite") |
| 3 | CWE-89 | Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL ('Injection SQL') |
| 4 | CWE-416 | Utiliser après la gratuité |
| 5 | CWE-78 | Neutralisation incorrecte des éléments spéciaux utilisés dans une commande OS ('Injection de commandes OS') |
| 6 | CWE-20 | Mauvaise validation des entrées |
| 7 | CWE-125 | Lecture hors limites |
| 8 | CWE-22 | Limitation incorrecte d'un nom de chemin à un répertoire restreint ('Traversée de répertoires') |
| 9 | CWE-352 | Falsification de requêtes intersite (CSRF) |
| 10 | CWE-434 | Téléchargement amont non restreint d'un fichier de type dangereux |
| 11 | CWE-862 | Autorisation manquante |
| 12 | CWE-476 | Déréférencement du pointeur NULL |
| 13 | CWE-287 | Authentification incorrecte |
| 14 | CWE-190 | Dépassement ou bouclage d'entier |
| 15 | CWE-502 | Désérialisation de données non fiables |
| 16 | CWE-77 | Neutralisation incorrecte des éléments spéciaux utilisés dans une commande ('Injection de commandes') |
| 17 | CWE-119 | Restriction incorrecte des opérations dans les limites d'une mémoire tampon |
| 18 | CWE-798 | Utilisation de données d'identification codées en dur |
| 19 | CWE-918 | Server-Side Request Forgery (SSRF) |
| 20 | CWE-306 | Absence d'authentification pour une fonction critique |
| 21 | CWE-362 | Exécution simultanée à l'aide d'une ressource partagée avec une synchronisation incorrecte (« Condition de concurrence ») |
| 22 | CWE-269 | Gestion inappropriée des privilèges |
| 23 | CWE-94 | Contrôle inapproprié de la génération de code (« injection de code ») |
| 24 | CWE-863 | Autorisation incorrecte |
| 25 | CWE-276 | Autorisations par défaut incorrectes |