CWE Top25漏洞榜單發布,跨站腳本躍居榜首
近日,在CWE(通用漏洞枚舉)最新發布的2020年25種最危險軟件漏洞榜單中,跨站腳本(XSS)名列榜首(下圖)。
在最新公布的榜單中,跨站腳本(XSS)的威脅評分為46.82。
在描述跨站點腳本(XSS)帶來的危險時,CWE寫道:“攻擊者可以將受害人的機器上的私人信息(例如可能包含會話信息的Cookie)從受害人的計算機傳輸到攻擊者。攻擊者代表受害者可以向網絡發送惡意請求,如果受害者擁有站點的管理員權限,則將對站點構成重大威脅。”
“網絡釣魚攻擊可以用來模仿受信任的網站,并誘使受害者輸入密碼,從而使攻擊者可以竊取該網站上的受害者賬戶。最后,該腳本可以利用Web瀏覽器本身的漏洞,可能接管受害者的機器,有時也稱為‘路過攻擊’。”
相比之下, 2019年的CWE排行榜看上去更加危險。2019年排名第一的軟件威脅(對內存緩沖區范圍內操作的不當限制)的威脅得分為75.56。該威脅在2020年的榜單排名下滑至第五名。
在2020年榜單的編制中,CWE團隊參考了美國國家標準技術研究院(NIST)國家漏洞數據庫(NVD)中的常見漏洞和暴露(CVE)數據。該團隊還考慮了與每個CVE相關的通用漏洞評分系統(CVSS)分數。
在今年的榜單中,第二大漏洞是“越界寫入”。該漏洞的威脅評分為46.16,僅略微低于跨站腳本的得分。
“這些都不是新的風險,那么為什么組織在將代碼發布到生產環境之前未能發現這些問題,或者未能保護這些漏洞免受生產環境的攻擊?”K2網絡安全首席技術官兼聯合創始人Jayant Shukla解釋道:“因為這些問題通常在測試期間很難發現,有時,僅在不同的應用程序模塊交互時才成為問題,這使得它們更難檢測。”
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
