طبق گفته MITER Corporation، به نمایندگی از CISA و DHS، رایجترین و تأثیرگذارترین ضعفهای نرمافزاری در فهرست ۲۵ برتر CWE اغلب به راحتی یافت میشوند و مورد بهرهبرداری قرار میگیرند. این مشکلات میتواند منجر به آسیبپذیریهای قابل بهرهبرداری شود و مهاجمان را قادر میسازد تا سیستمها را کنترل کنند، سرورها را خراب کنند، دادهها را سرقت کنند یا برنامهها را مختل کنند.
CWE ها به طور فزاینده ای در بحث های مربوط به قرار گرفتن در معرض آسیب پذیری رایج می شوند، زیرا جامعه تلاش می کند از علل اصلی این مسائل و آسیب پذیری های امنیتی که می توانند ایجاد کنند اجتناب کند. فراتر از فهرست برتر CWE، انتظار میرود MITER مجموعهای از مقالات را در تابستان امسال منتشر کند که در آن جزئیات چگونگی استفاده مؤثرتر از این اطلاعات در جامعه امنیتی را شرح دهد.
چرا مهم است: هر سال، موسسه مهندسی و توسعه سیستمهای امنیت داخلی فهرستی را برای رایجترین نقاط ضعف در نرمافزار منتشر میکند که منجر به بیشترین آسیبپذیریهای نرمافزاری میشود. در سال 2023، بدترین متخلفان سال قبل همچنان در رتبه های اول این لیست قرار دارند.
رتبه چهارم توسط Use After Free Flaws (CW-416) که سال گذشته رتبه هفتم را به خود اختصاص داده است. این نقص محبوب به طور فزاینده به آدرسهای حافظه مربوط میشود که پس از آزاد شدن همچنان مورد استفاده قرار میگیرند و به مهاجم اجازه میدهد از رفتار نادرست سوء استفاده کند و احتمالاً یک سیستم عامل یا سرور را خراب کند یا کدهای مخرب را از راه دور اجرا کند.
دومین ضعف نرمافزاری که اغلب در فهرست CWE رخ میدهد، CWE-79 است که اشکالات برنامهنویسی متقابل (XSS) مربوط به بهداشت نامناسب ورودی کاربر در وب است. مورد سوم، CWE-89، با نقص های امنیتی SQL Injection، شکل دیگری از خرابی بهداشت ورودی مرتبط است. فهرست برتر CWE امسال بر اساس دادههای 43996 رکورد CVE از آسیبپذیریهای کشف شده بین سالهای 2021 تا 2022 است.
آخرین هشدار آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA)، یک آژانس امنیت داخلی که با امنیت سایبری و امنیت زیرساخت های حیاتی سروکار دارد، به روز رسانی را در مورد 25 نقطه ضعف امنیتی خطرناک در محصولات نرم افزاری ارائه می دهد. لیست 25 برتر CWE بر اساس داده های عمومی در مورد مسائل نرم افزاری شناسایی شده در دو سال گذشته است و وضعیت نسبتاً دلسرد کننده امنیت سایبری در ایالات متحده را روشن می کند.
در سال 2023، رتبه اول برای بدترین شماره CWE مانند سال گذشته باقی می ماند: خارج از محدوده می نویسد (CWE-787). این نوع مشکل سرریز بافر زمانی رخ می دهد که یک روال نرم افزاری داده ها را خارج از محدوده بافر می نویسد و مکان های حافظه مجاور را بازنویسی می کند. این می تواند منجر به خراب شدن داده ها، خرابی یا اجرای کد شود. نوشتن کد به زبانی مانند Rust می تواند به طور قابل توجهی مشکل را کاهش دهد.