.gif)
Их эксплуатация позволяет полностью взять под контроль выполнение ПО, украсть данные или помешать работе программного обеспечения.
На сайте Common Weakness Enumeration (CWE) опубликован свежий список наиболее опасных ошибок программирования 2019 года. 2019 CWE Top 25 Most Dangerous Software Errors — демонстрационный список наиболее распространенных и критических уязвимостей, которые могут привести к серьезным проблемам в программном обеспечении. Их эксплуатация часто позволяет злоумышленникам полностью взять под контроль выполнение программного обеспечения, украсть данные или помешать работе программного обеспечения.
В опубликованном списке подробно разбирается каждый из 25 видов ошибок, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок. Ниже краткое описание 10 самых опасных уязвимостей:
На сайте Common Weakness Enumeration (CWE) опубликован свежий список наиболее опасных ошибок программирования 2019 года. 2019 CWE Top 25 Most Dangerous Software Errors — демонстрационный список наиболее распространенных и критических уязвимостей, которые могут привести к серьезным проблемам в программном обеспечении. Их эксплуатация часто позволяет злоумышленникам полностью взять под контроль выполнение программного обеспечения, украсть данные или помешать работе программного обеспечения.
В опубликованном списке подробно разбирается каждый из 25 видов ошибок, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок. Ниже краткое описание 10 самых опасных уязвимостей:
CWE-119 — Выполнение операций за пределами буфера памяти (Improper Restriction of Operations within the Bounds of a Memory Buffer). Оценка 75,56 балла по шкале CVSS.
CWE-79 — Некорректная нейтрализация входных данных при генерировании web-страниц (Межсайтовое выполнение сценариев) (Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)) Оценка 45,69 балла по шкале CVSS.
CWE-20 — Некорректная проверка входных данных (Improper Input Validation). Оценка 43,61 балла по шкале CVSS.
CWE-200 — Разглашение информации (Information Exposure). Оценка 32,12 балла по шкале CVSS.
CWE-125 — Чтение за пределами буфера (Out-of-bounds Read). Оценка 26,53 балла по шкале CVSS.
CWE-89 — Некорректная нейтрализация специальных элементов, используемых в SQL-командах (Внедрение SQL)(Improper Neutralization of Special Elements used in an SQL Command (SQL Injection)). Оценка 24,54 балла по шкале CVSS.
CWE-416 — Использование после освобождения (Use After Free). Оценка 17,94 балла по шкале CVSS.
CWE-190 — Целочисленное переполнение или циклический возврат (Integer Overflow or Wraparound). Оценка 17,35 балла по шкале CVSS.
CWE-352 — Межсайтовая подмена запросов (Cross-Site Request Forgery, CSRF). Оценка 15,54 балла по шкале CVSS.
CWE-22 — Некорректные ограничения путей для каталогов (Подмена пути)(Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)). Оценка 14,10 балла по шкале CVSS.
