点击任何列表中的CWE ID,您将被引导到MITRE CWE站点中的相关站点,在那里您可以找到以下内容:
- 前25名的排名,
- 链接到完整的CWE条目数据,
- 弱点流行率和后果的数据字段,
- 补救成本,
- 容易被发现,
- 代码示例,
- 检测方法,
- 攻击频率和攻击者意识
- 相关CWE条目,以及
- 针对这一弱点的相关攻击模式。
前25个软件错误站点的每个条目还包括相当广泛的预防和补救步骤,开发人员可以采取这些步骤来减轻或消除弱点。
档案文件
- View the Top 25 Software Errors for 2010 Here
- View the Top 25 Software Errors for 2009 Here
CWE前25名
| Rank | ID | Name |
| [1] | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer |
| [2] | CWE-79 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') |
| [3] | CWE-20 | Improper Input Validation |
| [4] | CWE-200 | Information Exposure |
| [5] | CWE-125 | Out-of-bounds Read |
| [6] | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') |
| [7] | CWE-416 | Use After Free |
| [8] | CWE-190 | Integer Overflow or Wraparound |
| [9] | CWE-352 | Cross-Site Request Forgery (CSRF) |
| [10] | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') |
| [11] | CWE-78 | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') |
| [12] | CWE-787 | Out-of-bounds Write |
| [13] | CWE-287 | Improper Authentication |
| [14] | CWE-476 | NULL Pointer Dereference |
| [15] | CWE-732 | Incorrect Permission Assignment for Critical Resource |
| [16] | CWE-434 | Unrestricted Upload of File with Dangerous Type |
| [17] | CWE-611 | Improper Restriction of XML External Entity Reference |
| [18] | CWE-94 | Improper Control of Generation of Code ('Code Injection') |
| [19] | CWE-798 | Use of Hard-coded Credentials |
| [20] | CWE-400 | Uncontrolled Resource Consumption |
| [21] | CWE-772 | Missing Release of Resource after Effective Lifetime |
| [22] | CWE-426 | Untrusted Search Path |
| [23] | CWE-502 | Deserialization of Untrusted Data |
| [24] | CWE-269 | Improper Privilege Management |
| [25] | CWE-295 | Improper Certificate Validation |
| Rank | ID | Name |
| [1] | CWE-119 | 内存缓冲区范围内的操作限制不正确 |
| [2] | CWE-79 | 网页生成过程中输入的中和不正确(“跨站点脚本”) |
| [3] | CWE-20 | 输入验证不正确 |
| [4] | CWE-200 | 信息披露 |
| [5] | CWE-125 | 越界读取 |
| [6] | CWE-89 | SQL命令中使用的特殊元素的不正确中和(“SQL注入”) |
| [7] | CWE-416 | 释放后使用 |
| [8] | CWE-190 | 整数溢出或环绕 |
| [9] | CWE-352 | 跨站点请求伪造(CSRF) |
| [10] | CWE-22 | 路径名对受限制目录的限制不正确(“路径遍历”) |
| [11] | CWE-78 | 操作系统命令中使用的特殊元素的不正确中和(“操作系统命令注入”) |
| [12] | CWE-787 | 越界写入 |
| [13] | CWE-287 | 身份验证不正确 |
| [14] | CWE-476 | 空指针取消引用 |
| [15] | CWE-732 | 关键资源的权限分配不正确 |
| [16] | CWE-434 | 不受限制地上载危险类型的文件 |
| [17] | CWE-611 | XML外部实体引用的限制不正确 |
| [18] | CWE-94 | 代码生成控制不当(“代码注入”) |
| [19] | CWE-798 | 硬编码凭证的使用 |
| [20] | CWE-400 | 不受控制的资源消耗 |
| [21] | CWE-772 | 有效生存期后缺少资源释放 |
| [22] | CWE-426 | 不受信任的搜索路径 |
| [23] | CWE-502 | 不可信数据的反序列化 |
| [24] | CWE-269 | 权限管理不当 |
| [25] | CWE-295 | 证书验证不正确 |
帮助消除前25个软件错误的资源
SAN应用程序安全课程
SANS应用程序安全课程旨在通过提供世界级的教育资源来设计、开发、采购、部署和管理安全软件,将安全性深入人心。应用程序安全系是具有数十年应用程序安全经验的实战人员。我们课程中涵盖的概念将适用于您返回工作岗位当天的软件安全计划:
- DEV522:保护Web应用程序安全要素
- DEV534:安全DevOps:实用介绍
- DEV540:安全的DevOps和云应用程序安
- DEV522: Defending Web Applications Security Essentials
- DEV534: Secure DevOps: A Practical Introduction
- DEV540: Secure DevOps & Cloud Application Security
SANS维护一个应用程序安全网络人才评估,该评估衡量安全编码技能,允许程序员确定其安全编码知识的差距,并允许买家确保外包程序员有足够的编程技能。组织可以在https://www.sans.org/cybertalent/assessment-detail?msc=top25hp#appsec。
开发人员安全意识培训
SANS安全意识开发人员产品根据需要提供精确的软件安全意识培训,所有这些都是在您的办公桌上进行的。应用安全意识培训包括30多个模块,平均7-10分钟,最大限度地提高学习者的参与度和保持力。这些模块涵盖了PCI第6.5节法规遵从性主题的全部广度和深度,以及对安全软件开发非常重要的项目。
前25个错误列表将定期更新,并发布在SANS和MITRE站点
CWE Top 25 Software Errors Site
MITRE在美国国土安全部国家网络安全部门的支持下维护CWE(Common Weakness Enumeration)网站,详细描述前25个软件错误,并提供减轻和避免这些错误的权威指导。该站点还包含700多个额外软件错误、设计错误和架构错误的数据,这些错误可能导致可利用的漏洞。CWE网站
SAFECode—
软件保证卓越代码论坛(成员包括EMC、Juniper、Microsoft、Nokia、SAP和Symantec)已出版了两本优秀的出版物,概述了软件保证的行业最佳做法,并为实施安全软件开发的经验证方法提供了实用建议。
安全软件开发基本实践第3版
这里不能贴链接,详细的可以看原文
软件保障社区资源网站和DHS网站
作为DHS风险缓解工作的一部分,为了提高网络资产的弹性,软件保证计划旨在减少软件漏洞,最大限度地减少利用,并解决如何以可预测的执行方式定期获取、开发和部署可靠和可信赖的软件产品,以及提高诊断能力分析系统是否存在可利用的弱点。
