-CWE là viết tắt của Common Weakness Enumeration, dựa vào công bố CWE 2019 ta có Top 25 lỗi phần mềm nguy hiểm nhất là một danh sách minh họa về các điểm yếu phổ biến và phổ biến nhất có thể dẫn đến các lỗ hổng nghiêm trọng trong phần mềm. Những điểm yếu này thường dễ tìm và khai thác. Chúng rất nguy hiểm vì chúng sẽ thường xuyên cho phép các đối thủ hoàn toàn tiếp quản việc thực thi phần mềm, đánh cắp dữ liệu hoặc ngăn phần mềm hoạt động. CWE Top 25 là một tài nguyên cộng đồng có thể được sử dụng bởi các nhà phát triển phần mềm, người kiểm thử phần mềm, khách hàng phần mềm, người quản lý dự án phần mềm, nhà nghiên cứu bảo mật và nhà giáo dục để cung cấp cái nhìn sâu sắc về một số mối đe dọa bảo mật phổ biến nhất trong ngành công nghiệp phần mềm.
-Để tạo được danh sách trên, Nhóm CWE đã sử dụng cách tiếp cận dựa trên dữ liệu để có thể tận dụng dữ liệu của Common Vulnerabilities and Exposures (CVE®) và các ánh xạ CWE có liên quan được tìm thấy trong National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD), cũng như Common Vulnerability Scoring System (CVSS) liên quan đến từng CVE. Một công thức tính điểm sau đó đã được áp dụng để xác định mức độ phổ biến và mức độ nguy hiểm của từng điểm yếu. Cách tiếp cận dựa trên dữ liệu này có thể được sử dụng như một quy trình lặp lại, theo kịch bản để tạo danh sách Top 25 của CWE một cách thường xuyên với nỗ lực tối thiểu.
-Dưới đây là danh sách ngắn gọn về những điểm yếu trong Top 25 CWE 2019, bao gồm tổng điểm của từng điểm.
[1] | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer | 75.56 |
[2] | CWE-79 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | 45.69 |
[3] | CWE-20 | Improper Input Validation | 43.61 |
[4] | CWE-200 | Information Exposure | 32.12 |
[5] | CWE-125 | Out-of-bounds Read | 26.53 |
[6] | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') | 24.54 |
[7] | CWE-416 | Use After Free | 17.94 |
[8] | CWE-190 | Integer Overflow or Wraparound | 17.35 |
[9] | CWE-352 | Cross-Site Request Forgery (CSRF) | 15.54 |
[10] | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') | 14.10 |
[11] | CWE-78 | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') | 11.47 |
[12] | CWE-787 | Out-of-bounds Write | 11.08 |
[13] | CWE-287 | Improper Authentication | 10.78 |
[14] | CWE-476 | NULL Pointer Dereference | 9.74 |
[15] | CWE-732 | Incorrect Permission Assignment for Critical Resource | 6.33 |
[16] | CWE-434 | Unrestricted Upload of File with Dangerous Type | 5.50 |
[17] | CWE-611 | Improper Restriction of XML External Entity Reference | 5.48 |
[18] | CWE-94 | Improper Control of Generation of Code ('Code Injection') | 5.36 |
[19] | CWE-798 | Use of Hard-coded Credentials | 5.12 |
[20] | CWE-400 | Uncontrolled Resource Consumption | 5.04 |
[21] | CWE-772 | Missing Release of Resource after Effective Lifetime | 5.04 |
[22] | CWE-426 | Untrusted Search Path | 4.40 |
[23] | CWE-502 | Deserialization of Untrusted Data | 4.30 |
[24] | CWE-269 | Improper Privilege Management | 4.23 |
[25] | CWE-295 | Improper Certificate Validation | 4.06 |
-Top 25 CWE 2019 được phát triển bằng cách lấy dữ liệu lỗ hổng CVE được công bố được tìm thấy trong NVD. NVD có được dữ liệu về lỗ hổng từ CVE và sau đó bổ sung dữ liệu này bằng phân tích và dữ liệu bổ sung để cung cấp thêm thông tin về các lỗ hổng. Ngoài việc cung cấp điểm yếu cơ bản cho từng lỗ hổng, NVD còn cung cấp điểm CVSS, đây là điểm số thể hiện mức độ nghiêm trọng tiềm ẩn của lỗ hổng dựa trên tập hợp các đặc điểm tiêu chuẩn về lỗ hổng. NVD cung cấp thông tin này ở định dạng dễ tiêu hóa giúp thúc đẩy cách tiếp cận dựa trên dữ liệu trong việc tạo CWE Top 25. Cách tiếp cận này cung cấp cái nhìn khách quan về những lỗ hổng hiện đang thấy trong thế giới thực, tạo ra một nền tảng được xây dựng dựa trên các lỗ hổng được báo cáo công khai thay vì dựa vào về khảo sát và ý kiến, và làm cho quá trình lặp lại trong những năm tới.
-Top 25 CWE 2019 tận dụng dữ liệu NVD từ các năm 2017 và 2018, bao gồm khoảng hai mươi lăm nghìn CVE. Nhóm CWE đã phát triển một công thức tính điểm để tính thứ tự điểm yếu. Công thức tính điểm kết hợp tần suất CWE là nguyên nhân gốc của lỗ hổng với mức độ nghiêm trọng dự kiến của việc khai thác. Trong cả hai trường hợp, tần suất và mức độ nghiêm trọng được chuẩn hóa tương ứng với các giá trị tối thiểu và tối đa được nhìn thấy.
-Để xác định tần số CWE, công thức tính điểm tính toán số lần CWE được ánh xạ tới CVE trong NVD. Chỉ những CVE có điểm yếu liên quan mới được sử dụng trong tính toán này, vì sử dụng toàn bộ bộ CVE trong NVD sẽ dẫn đến tốc độ tần số rất thấp và rất ít sự khác biệt giữa các loại điểm yếu khác nhau.
Code:
[FONT=times new roman]Freq = {count(CWE_X’ ∈ NVD) for each CWE_X’ in NVD} Fr(CWE_X) = (count(CWE_X ∈ NVD) - min(Freq)) / (max(Freq) - min(Freq))[/FONT]
-Thành phần khác trong công thức tính điểm là mức độ nghiêm trọng của điểm yếu, được biểu thị bằng điểm CVSS trung bình của tất cả các CVE ánh xạ tới CWE cụ thể. Phương trình dưới đây được sử dụng để tính giá trị này.
Code:
Sv(CWE_X) = (average_CVSS_for_CWE_X - min(CVSS)) / (max(CVSS) - min(CVSS))
-Mức độ nguy hiểm được trình bày bởi một CWE cụ thể sau đó được xác định bằng cách nhân số điểm nghiêm trọng với điểm số tần số.
Code:
Score(CWE_X) = Fr(CWE_X) * Sv(CWE_X) * 100
-Có một vài tính chất của phương pháp tính điểm đáng để giải thích thêm.
- Điểm yếu hiếm khi được khai thác sẽ không nhận được điểm cao, bất kể mức độ nghiêm trọng điển hình liên quan đến bất kỳ khai thác. Điều này có ý nghĩa, vì nếu các nhà phát triển không mắc một lỗi cụ thể nào, thì điểm yếu không nên được nêu rõ trong Top 25 của CWE.
- Điểm yếu với tác động thấp sẽ không nhận được điểm cao. Điều này một lần nữa có ý nghĩa, vì không có khả năng gây ra tác hại đáng kể bằng cách khai thác điểm yếu có nghĩa là điểm yếu nên được xếp hạng dưới mức có thể.
- Điểm yếu vừa phổ biến vừa có thể gây hại nên nhận được điểm cao.