近日,CWE(CommonVulnerabilityEnumeration)最新发布的2020年最危险的25个软件漏洞榜单中,跨站脚本(XSS)高居榜首(如下图)。在新公布的榜单中,跨站脚本(XSS)的威胁评分为46.82。在描述跨站点脚本(XSS)带来的危险时,CWE写道:“攻击者可以将受害者计算机上的私人信息(例如可能包含会话信息的cookie)从受害者的计算机传输到攻击者。攻击者可以发送恶意的代表受害者向网络发出请求,如果受害者在网站上拥有管理员权限,这会对网站构成重大威胁。”“网络钓鱼攻击可用于冒充受信任的网站并诱骗受害者输入密码,从而允许攻击者窃取受害者在网站上的帐户。最后,该脚本可以利用网络浏览器本身的漏洞,有可能接管受害者的机器,有时被称为‘偷渡式攻击’。”相比之下,2019年的CWE排名看起来更加危险。2019年排名第一的软件威胁(对内存缓冲区范围内操作的不当限制)的威胁评分为75.56。该威胁在2020年榜单上下滑至第五位。在编制2020年列表时,CWE团队参考了美国国家标准与技术研究院(NIST)国家漏洞数据库(NVD)的常见漏洞和暴露(CVE)数据。该团队还考虑了与每个CVE相关的通用漏洞评分系统(CVSS)评分。今年榜单上的第二大漏洞是“越界写入”。该漏洞的威胁评分为46.16,仅略低于跨站脚本评分。“这些都不是新风险,那么为什么组织在将代码发布到生产环境之前未能检测到这些问题,或者未能在生产环境中保护这些漏洞呢?”K2Cyber??security的首席技术官兼联合创始人Jayant“因为这些问题在测试期间通常很难发现,有时,只有在不同的应用程序模块交互时才会成为问题,这使得它们更难检测,”Shukla解释道。转载请通过安全牛获得授权(微信公众号id:gooann-sectv)】点此阅读作者更多好文
