首页 > 其他分享 >2023年最具威胁的25种安全漏洞(CWE TOP 25)

2023年最具威胁的25种安全漏洞(CWE TOP 25)

时间:2023-07-11 11:12:54浏览次数:45  
标签:25 映射 TOP 漏洞 2023 CWE 节点

摘要: CWE Top 25 是通过分析美国国家漏洞数据库(NVD)中的公共漏洞数据来计算的,以获取前两个日历年 CWE 弱点的根本原因映射。

本文分享自华为云社区《2023年最具威胁的25种安全漏洞(CWE TOP 25)》,作者: Uncle_Tom 。

CWE Top 25 是通过分析美国国家漏洞数据库(NVD)中的公共漏洞数据来计算的,以获取前两个日历年 CWE 弱点的根本原因映射。这些弱点会导致软件中的严重漏洞。攻击者通常可以利用这些漏洞来控制受影响的系统、窃取数据或阻止应用程序运行。对此类漏洞数据进行趋势分析使组织能够在漏洞管理方面做出更好的投资和政策决策。许多处理软件的专业人士会发现CWE Top25帮助降低风险的方便且实用资源。

1. CWE 4.12发布

最近几年,每年6月CWE发布的版本都成为一年中最重要的版本,因为里面包含了新的CWE TOP 25 视图,也就是我们常说的:CWE最具威胁的25种缺陷。

CWE 4.12 在6月29号发布,里面包含了重要的2023年TOP25视图: CWE-1425。同时这次的TOP 25还包括从美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency’s (CISA))已知被利用漏洞(Known Exploited Vulnerabilities (KEV)) 目录中观察到的示例,以显示与现实世界漏洞的相关性。

另一个重要的变动是在所有 CWE 条目中添加了一个新的节点 - 漏洞映射说明(Mapping_Notes)。这些说明将使用户能够更准确地将漏洞(例如 CVE)映射到其根本原因弱点。以前,映射注释仅在“注释”部分中可用于少数 CWE 条目。为此新版本的CWE,将原有的xml的schema从6.9升级到7.0, 用于完善这个节点的定义。

2. CWE新的节点 – 漏洞映射说明(Mapping_Notes)

我们从cwe_schema_v7.0.xsd中可以看到,新增加的节点"Mapping_Notes"的定义类型为:

“cwe:MappingNotesType”。
<xs:element name="Mapping_Notes" type="cwe:MappingNotesType" minOccurs="0" maxOccurs="1"/>

再看"MappingNotesType"的具体定义为:

<xs:complexType name="MappingNotesType">
<xs:annotation>
<xs:documentation>The MappingNotesType complex type provides guidance for when (and whether) to map an issue to this CWE entry or to suggest alternatives. The Usage element describes whether the CWE should be used for mapping vulnerabilities to their underlying weaknesses as part of root cause analysis. The Rationale element provides context for the Usage. The Comments element provides further clarification to the reader. The Reasons element uses a limited vocabulary to summarize the Usage. The Suggestions element includes suggestions for additional CWEs that might be more appropriate for the mapping task.</xs:documentation>
</xs:annotation>
<xs:sequence>
 <xs:element name="Usage" type="cwe:UsageEnumeration"  minOccurs="1" maxOccurs="1"/>
<xs:element name="Rationale" type="cwe:StructuredTextType"  minOccurs="1" maxOccurs="1"/>
<xs:element name="Comments" type="cwe:StructuredTextType" minOccurs="1" maxOccurs="1"/>
 <xs:element name="Reasons" type="cwe:ReasonsType" minOccurs="1" maxOccurs="1"/>
 <xs:element name="Suggestions" type="cwe:SuggestionsType" minOccurs="0" maxOccurs="1"/>
</xs:sequence>
</xs:complexType>

从这个定义可以看出在"Mapping_Notes"节点下,还有5个子节点,其中"Usage",“Rationale”,“Comments”,"Reasons"是强制必须有的节点,"Suggestions"为可选节点。

这个节点信息的增加,将为我们在CWE与缺陷映射时,提供极大的帮助,以提高映射的准确性。

CWE的工作者们已经意识到CWE与缺陷的映射时出现的重叠或CWE之间存在模糊的交集,会给缺陷分类带来很多的困惑,最最近的几个版本中,正试图通过增加节点以及映射说明,逐步的修正这个问题。特别是CWE 4.11中添加了新的软件保障趋势视图综合分类:CWE-1400,将所有弱点分组(如“内存安全”),以便于分析软件保障中的趋势和优先级。

3. CWE 2023 TOP 25

CWE Top 25 是通过分析美国国家标准与技术研究院(National Institute of Standards and Technology(NIST)) 美国国家漏洞数据库(U.S. National Vulnerability Database(NVD))中的公共漏洞数据来计算的,以获取前两个日历年 CWE 弱点的根本原因映射。这些弱点会导致软件中的严重漏洞。攻击者通常可以利用这些漏洞来控制受影响的系统、窃取数据或阻止应用程序运行。

2023年 CWE TOP25 包含最近常见漏洞和披露(Common Vulnerabilities and Exposures (CVE))记录的更新弱点数据,这些数据是网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency’s (CISA))已知被利用漏洞(Known Exploited Vulnerabilities (KEV)) 目录的一部分。

CWE 通过分析2021到2022年报告的43,996个CVE漏洞,得到了2023 最具威胁的25种漏洞。

对此类漏洞数据进行趋势分析使组织能够在漏洞管理方面做出更好的投资和政策决策。许多处理软件的专业人士会发现 CWE Top 25 是帮助降低风险的实用且方便的资源。

  • 2023 CWE TOP25排行

3.1. 缺陷变动情况

  • 名单中上升最快的是:

    • CWE-416:释放后使用, 从 #7 上升到 #3;
    • CWE-862:授权机制缺失, 从 #16 上升到 #11;
    • CWE-269:特权管理不恰当, 从 #29 上升到 #22;
    • CWE-863:授权机制不正确, 从 #28 上升到 #24。
  • 名单中跌幅最大的是:

    • CWE-502:不可信数据的反序列化, #12 降为 #15;
    • CWE-798:使用硬编码的凭证, 从 #15 降为 #18;
    • CWE-276:缺省权限不正确, 从 #20 降为 #25。
  • 前25名中的新进缺陷是:

    • CWE-269:特权管理不恰当, 从 #29 上升到 #22;
    • CWE-863:授权机制不正确, 从 #28 上升到 #24。
  • 跌出前25名的缺陷是:

    • CWE-400:未加控制的资源消耗(资源耗尽), 从 #23 跌到 #37;
    • CWE-611:XML外部实体引用的不恰当限制(XXE), 从 #24 跌到 #28。

 

点击关注,第一时间了解华为云新鲜技术~

标签:25,映射,TOP,漏洞,2023,CWE,节点
From: https://www.cnblogs.com/huaweiyun/p/17543436.html

相关文章

  • PD虚拟机18.3.2更新,最新parallels desktop下载
    ParallelsDesktop18虚拟机可以在Mac电脑上运行window或其他系统,无需重启电脑,轻松便捷。PD虚拟机18.3.2更新了,最新ParallelsDesktop18修复了一些问题,想要体验最新Mac PD虚拟机18.3.2中文版虚拟机的朋友,小编为大家带来了最新parallelsdesktop下载安装包及详细的安装教程,有需要的......
  • SMU 2023 Spring 题单 第二周 贪心
    Saruman'sArmy首先对序列排序,然后逐个考虑覆盖,如果要覆盖当前的点,则标记点越靠后越好,所有向后找\(R\),选择最靠后的标记,然后从标记点开始在向后找\(R\)也是被标记过的,直接跳过#include<cstdio>#include<algorithm>usingnamespacestd;intread(){intx=0,f=1......
  • 【2023-07-09】连岳摘抄
    23:59人能尽自己的责任,就可以感觉到好像吃梨喝蜜似的,把人生苦酒的滋味给抵消了。                                                 ——狄更新你错了,你已经是星星了,......
  • 【2023-07-10】平静就美
    20:00驱散阴影最好的办法,就是把一切都摆在明面上。                                                 ——哈珀·李最近在看一本叫《臣服实验》的书。在看这本书之前,我......
  • .NET周刊【7月第2期 2023-07-09】
    由于这周比较忙,只给出了标题和链接,没有具体的简介。另外根据粉丝朋友的反馈,".NET周报"更名为".NET周刊",希望大家喜欢:)国内文章......
  • 2023.7.10
    今天楼下有集市喽,出门逛集画了一个美美的妆,在这炎炎夏日,根本撑不住下午跟好朋友聊了一会,找到一起加油能陪着我的好友啦!真的很不错!演戏的话谁又会演的过我呢,无所谓的,不真诚的人永远不会有结果的。坐等喽,我说真的。明天要继续努力啦!好好学习,加上写假期作业。明天去驾校练科目......
  • fl studio哪个版本好? 2023年会有免费fl studio21中文解锁版下载?
    FLStudio简称FL,全称FruityLoopsStudio,因此国人习惯叫它"水果"。目前最新版本是FLStudio21.0.3.3517版本,它让你的计算机就像是全功能的录音室,大混音盘,非常先进的制作工具,让你的音乐突破想象力的限制。FLStudio21首先提供了音符编辑器,编辑器可以针对作曲者的要求编辑出不同音......
  • Camtasia Studio 2023.0.2 Build 45178中文版功能介绍及免费下载安装教程
    TechSmithCamtasia2023Mac版软件由兔八哥爱分享的Macos系统上一款屏幕录制软件中文版,它可以帮助用户录制电脑屏幕、添加音频、视频和图片,进行剪辑和编辑,并输出高质量的视频文件。CamtasiaStudio2023.0.2Build45178软件介绍Camtasia2023是一款简便的屏幕录制程序,该软件帮助......
  • 2023.7.10
    今天早上非常振奋地起来床,煎了个蛋下了碗面,泡杯茶,非常安逸的开局,上午稍微看了看国漫,中午吃了麻辣烫,午休了一会儿,下午将之前看过的题又拿出来手写了一遍,有些错误还是错了,不过大部分都对了,今天很充实,明天打算继续努力。......
  • 2023.7.10值得推荐的一款服务器空间
    已经体验一个月咯,非常不错的免费资源,适合大家去了解了解~!他们家的免费空间,免费服务器,非常稳定,非常靠谱,值得拥有,价格厚道~!免备案服务,域名管理等等服务,应有尽有,2023年你值得了解,他们家的免费云服务器还是独立IP的哦,非常非常好,非常NICE~! ......