CWE-269: 权限管理不当上升7位,从第22位上升至第15位 CWE-863: 错误授权上升6位,从第24位上升至第18位 榜内最速下降 CWE-20: 不正确的输入验证下降6位,从第6位下降至第12位 CWE-476: 空指针引用下降9位,从第12位下降至第21位 CWE-190: 整数溢出或环绕下降9位,从第14位下降至第23位 CWE-306: 缺少关
2023版的TOP 25榜单中最大的变化是CWE-416(释放后使用)从第7升至第3,CWE-862(授权缺失)从第16升至第11,CWE-269(不当权限管理)从第29升至22,CWE-863(不正确的授权)从第28升至第24。此外,CWE-502(不开心时数据的反序列化)从第12降至第15,CWE-798(使用硬编码的凭证)从第15降至第18,CWE-276(不正确...
CWE-502:不可信数据的反序列化。从2019年的23名,逐步上升到2022年的最高点12名,2023年回落到15名。 CWE-863:授权机制不正确。从2019年的35名,逐步上升到今年终于进入前25名的第24名。 对于这五个处于上升阶段的CWE缺陷,已经在前面的"相对稳定"和"始终在前25"的讨论中涉及,就不再一一解读。
23.CWE-94:代码生成控制不当 (代码注入) 24.CWE-863:不正确的授权 25.CWE-276:不正确的默认权限
CWE-863 (Incorrect Authorization): from #33 to #29从这里可以看出,除了787是缓冲区问题之外,另外上升较快的都是权限控制相关的问题. 下降较快的有: CWE-426 (Untrusted Search Path): from #22 to #26 CWE-295 (Improper Certificate Validation): from #25 to #28 CWE-835 (Loop with Unreachable Exit...
28 CWE-863 授权错误 250 6.76 3.10 0 +10 29 CWE-269 权限管理不当 207 7.67 3.06 3 0 30 CWE-732 关键资源的权限分配不正确 212 7.31 2.93 1 -8 31 CWE-843 使用不兼容类型访问资源(“类型混淆”) 173 8.34 2.87 10 +5 32 CWE-668 资源暴露于错误的领域 230 6.48 2.68 0 +21 33 CWE-200 ...
CWE-863: 授权机制不正确, 从 #24 上升到 #18。 名单中下降的是: CWE-20: 输入验证不恰当, #6 降为 #12; CWE-476: 空指针解引用, 从 #12 降为 #21; CWE-190: 整数溢出或超界折返, 从 #14 降为 #23; CWE-306: 关键功能的认证机制缺失, 从 #20 降为 #25。 前25名中的新进缺陷是: CWE...
15 CWE - 863: 错误的认证 总结 流行程度 高 后果 安全绕过 修复成本 低到中 检测难易 中等 攻击频率 经常 攻击者意识 高 描述 缺乏授权更危险(在前 25 名),不正确的授权都有问题。开发人员可能试图 控制特定资源的权限,但实现它在某总程度上可以忽略。例如,一个人一旦登录 到一个网页应用...
15 CWE - 863: 错误的认证 总结 流行程度 高 后果 安全绕过 修复成本 低到中 检测难易 中等 攻击频率 经常 攻击者意识 高 描述 缺乏授权更危险(在前 25 名),不正确的授权都有问题。开发人员可 能试图控制特定资源的权限,但实现它在某总程度上可以忽略。例如,一 个人一旦登录到一个网页应用...
一些漏洞类型通过代码扫描工具轻松找到。所以这些类型虽然被发现,但很多已经被检查到并进行了修复,所以没有在KEV Top 10 中出现; 一些漏洞类型很容易被利用。例如KEV Top 10 中前三名的内存类问题,很容易被攻击者利用。 漏洞分析时是采用对攻击者最有利的状况下的结论。这可能导致在实际的应用环境中并不容易被攻...