CWE 2023 年 25 个最危险软件弱点报告

此报告显示的是可在您的站点上找到的常见弱点枚举 (CWE™) 最危险的 25 个软件弱点。CWE Top 25 报告是一项宝贵的社区资源,可帮助开发者、测试人员和用户(以及项目经理、安全团队和团队)洞察当前最严重的安全漏洞。

它为什么重要

CWE 最危险的 25 个软件弱点报告列出了可能导致严重软件漏洞的最严重的编程错误。这些弱点十分危险,因为它们通常很容易被发现、利用,并可能使攻击者完全控制系统、窃取数据或阻止应用程序运行。
Table 1. 2023年CWE Top 25弱点列表
排名 ID 名称
1 CWE-787 越界写入
2 CWE-79 对 Web 页面生成期间的输入的清理不当(“跨站点脚本编制”)
3 CWE-89 对 SQL 命令中使用的特殊元素清理不当(“SQL 注入”)
4 CWE-416 释放后再使用
5 CWE-78 对操作系统命令中使用的特殊元素清理不当(“操作系统命令注入”)
6 CWE-20 输入验证不当
7 CWE-125 越界读取
8 CWE-22 不当地将路径名限制为受限目录(“路径遍历”)
9 CWE-352 跨站点请求伪造 (CSRF)
10 CWE-434 未限制上载危险类型文件
11 CWE-862 缺少授权
12 CWE-476 空指针取消引用
13 CWE-287 认证不当
14 CWE-190 整数溢出或回绕
15 CWE-502 反序列化不可信数据
16 CWE-77 对命令中使用的特殊元素中和不当(“命令注入”)
17 CWE-119 没能将内存操作限制在边界范围内
18 CWE-798 使用硬编码凭证
19 CWE-918 服务器端请求伪造 (SSRF)
20 CWE-306 关键功能缺少认证
21 CWE-362 使用共享资源并发执行且同步不正确(“竞争条件”)
22 CWE-269 权限管理不当
23 CWE-94 代码生成控制不当(“代码注入”)
24 CWE-863 授权不正确
25 CWE-276 缺省权限不正确