Корпорацията MITRE актуализира своя списък с 25-те най-опасни софтуерни слабости, който отразява най-новите тенденции в областта на киберзаплахите.
Списъкът предоставя информация за най-често срещаните и въздействащи слабости, които участниците в заплахите използват при атаки за превземане на системи, кражба на поверителна информация и причиняване на смущения.
Уязвимостите Cross-site scripting (XSS) са начело на тазгодишния списък CWE Top 25, като миналата година заемаха втора позиция, а уязвимостите, свързани с писане извън границите на сайта, паднаха на второ място.
Докато бъговете, свързани с инжектиране на SQL, останаха на трета позиция, дефектите cross-site request forgery (CSRF), path traversal и out-of-bounds read се повишиха съответно с пет, три и едно място, измествайки проблемите с инжектиране на команди за операционни системи и use-after-free.
Топ 10 се допълва от липсващата оторизация, която миналата година беше единадесета, и неограниченото качване на файлове, което е стационарно на десета позиция. Инжектирането на код, което заемаше 23-то място в миналогодишния списък, се приземи на 11-то място в актуализирания списък.
Новите позиции в списъка 2024 CWE Top 25 включват излагане на чувствителна информация на 14, при 30 миналата година, и неконтролирано потребление на ресурси на 24, при 37 миналата година. Неправилните разрешения по подразбиране и недостатъците, свързани със състезателни състояния, отпаднаха от топ 25 на най-опасните софтуерни слабости.
Американската организация за киберсигурност CISA, която работи с Института за инженерство и развитие на системите за национална сигурност (HSSEDI), управляван от MITRE, при актуализирането на 2024 CWE Top 25, призовава организациите да прегледат списъка и да определят приоритетите на тези слабости в процесите на разработка и възлагане на обществени поръчки.
CISA призовава производителите на софтуер и организациите да възприемат практиките на Secure by Design, да прилагат насоките на Secure by Demand и да включат списъка CWE Top 25 в своите процеси за управление на уязвимостите и сигурност на приложенията.
„Като следват инициативите на CISA, организациите могат да намалят уязвимостите и да укрепят сигурността на приложенията и инфраструктурата. Включването на списъка CWE Top 25 за 2024 г. в стратегиите за киберсигурност и обществени поръчки ще повиши цялостната устойчивост“, казва агенцията.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.