2024年CWE最危险软件弱点前25名报告
本报告参考了2024年CWE最危险软件弱点前25名列表。这份由CWE团队发布的列表,基于对国家漏洞数据库(NVD)中的常见漏洞和暴露(CVE®)记录的分析,突出了最严重和最普遍的弱点。此信息反映了2024年名单的整合到AppScan Enterprise中。
它为什么重要
2024年CWE前25名列表识别出经常被发现且可能产生严重影响的关键软件弱点。了解这些弱点有助于开发人员、测试人员、项目经理和安全专业人员预防漏洞。
这些弱点特别危险,因为对手通常很容易发现并加以利用,可能导致系统被攻破、数据被盗或应用程序故障。为了创建2024年名单,CWE团队分析了来自NIST国家漏洞数据库(NVD)的CVE®数据,使用Common Vulnerability Scoring System(CVSS)评分根据观察到的普遍性和严重性对弱点进行排名。
| 排名 | ID | 名称 |
|---|---|---|
| 1 | CWE-79 | 对 Web 页面生成期间的输入的清理不当(“跨站点脚本编制”) |
| 2 | CWE-787 | 越界写入 |
| 3 | CWE-89 | 对 SQL 命令中使用的特殊元素清理不当(“SQL 注入”) |
| 4 | CWE-352 | 跨站点请求伪造 (CSRF) |
| 5 | CWE-22 | 不当地将路径名限制为受限目录(“路径遍历”) |
| 6 | CWE-125 | 越界读取 |
| 7 | CWE-78 | 对操作系统命令中使用的特殊元素清理不当(“操作系统命令注入”) |
| 8 | CWE-416 | 释放后再使用 |
| 9 | CWE-862 | 缺少授权 |
| 10 | CWE-434 | 未限制上载危险类型文件 |
| 11 | CWE-94 | 代码生成控制不当(“代码注入”) |
| 12 | CWE-20 | 输入验证不当 |
| 13 | CWE-77 | 对命令中使用的特殊元素中和不当(“命令注入”) |
| 14 | CWE-287 | 认证不当 |
| 15 | CWE-269 | 不当的权限管理 |
| 16 | CWE-502 | 反序列化不可信数据 |
| 17 | CWE-200 | 向未经授权的参与者公开敏感信息 |
| 18 | CWE-863 | 授权不正确 |
| 19 | CWE-918 | 服务器端请求伪造 (SSRF) |
| 20 | CWE-119 | 没能将内存操作限制在边界范围内 |
| 21 | CWE-476 | 空指针取消引用 |
| 22 | CWE-798 | 使用硬编码凭证 |
| 23 | CWE-190 | 整数溢出或回绕 |
| 24 | CWE-400 | 不受控制的资源消耗 |
| 25 | CWE306 | 关键功能缺少认证 |
相关信息
有关2024年CWE最危险软件弱点前25名列表的更多详细信息,包括方法和每个弱点的完整描述,请访问:CWE - 2024年CWE最危险软件弱点前25名