CWE’nin en tehlikeli 25 yazılım zayıflığı

   Kasım 21, 2024  Posted in HelpnetSecurity


En tehlikeli 25 yazılım zayıflığının yer aldığı CWE listesi, şu anda en yaygın ve etkili yazılım kusurlarını göstermektedir. Bu güvenlik açıklarının temel nedenlerini belirlemek, bunların oluşmasını proaktif bir şekilde önleyen yatırımları, politikaları ve uygulamaları şekillendirmeye yönelik bilgiler sağlar.

tehlikeli yazılım zayıflıkları

CWE’nin en tehlikeli 25 yazılım zayıflığı listesi, CWE kök neden eşlemeleri için Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) Kayıtlarındaki genel güvenlik açığı bilgileri analiz edilerek hesaplandı.

Bu yılın veri seti, 1 Haziran 2023 ile 1 Haziran 2024 arasında yayınlanan güvenlik açıklarına ilişkin 31.770 CVE Kaydını içeriyordu. Veriler, incelenmek üzere CNA topluluk ortaklarıyla paylaşmak üzere ilk olarak 30 Temmuz 2024’te çekildi. En güncel CVE Kayıtları bilgilerinin ilk 25 liste hesaplamalarında kullanıldığından emin olmak için veriler 4 Kasım 2024’te tekrar çekildi. Metodoloji hakkında daha ayrıntılı bilgi için buraya gidin.

2024’ün CWE İlk 25’i

  1. CWE-79: Web Sayfası Oluşturma Sırasında Girişin Uygunsuz Nötrleştirilmesi (‘Siteler Arası Komut Dosyası Çalıştırma’)
  2. CWE-787: Sınır Dışında Yazma
  3. CWE-89: SQL Komutunda Kullanılan Özel Öğelerin Uygunsuz Nötrleştirilmesi (‘SQL Enjeksiyonu’)
  4. CWE-352: Siteler Arası İstek Sahteciliği (CSRF)
  5. CWE-22: Kısıtlanmış Bir Dizine Yönelik Yol Adının Uygunsuz Şekilde Sınırlandırılması (‘Yol Geçişi’)
  6. CWE-125: Sınır Dışı Okuma
  7. CWE-78: Bir İşletim Sistemi Komutunda Kullanılan Özel Öğelerin Uygunsuz Nötrleştirilmesi (‘İşletim Sistemi Komut Ekleme’)
  8. CWE-416: Ücretsiz Sonra Kullan
  9. CWE-862: Eksik Yetkilendirme
  10. CWE-434: Tehlikeli Türdeki Dosyanın Sınırsız Olarak Yüklenmesi
  11. CWE-94: Kod Üretiminin Uygunsuz Kontrolü (“Kod Ekleme”)
  12. CWE-20: Uygunsuz Giriş Doğrulaması
  13. CWE-77: Bir Komutta Kullanılan Özel Elemanların Uygunsuz Nötrleştirilmesi (‘Komut Ekleme’)
  14. CWE-287: Uygunsuz Kimlik Doğrulaması
  15. CWE-269: Uygunsuz Ayrıcalık Yönetimi
  16. CWE-502: Güvenilmeyen Verilerin Seriden Çıkarılması
  17. CWE-200: Hassas Bilgilerin Yetkisiz Bir Aktöre İfşa Edilmesi
  18. CWE-863: Yanlış Yetkilendirme
  19. CWE-918: Sunucu Tarafı İstek Sahteciliği (SSRF)
  20. CWE-119: Bellek Arabelleğinin Sınırları İçerisindeki İşlemlerin Uygunsuz Kısıtlanması
  21. CWE-476: BOŞ İşaretçi Referansı
  22. CWE-798: Sabit Kodlanmış Kimlik Bilgilerinin Kullanımı
  23. CWE-190: Tamsayı Taşması veya Sarma
  24. CWE-400: Kontrolsüz Kaynak Tüketimi
  25. CWE-306: Kritik İşlev için Eksik Kimlik Doğrulaması



Source link