2021 Common Weakness Enumeration (CWE™) İlk 25 En Tehlikeli Yazılım Zayıflığı (CWE İlk 25), önceki iki takvim yılında yaşanan en yaygın ve etkili sorunların açıklayıcı bir listesidir.
Bu zayıflıklar çok tehlikelidir çünkü genellikle bulunmaları, istismar edilmeleri kolaydır ve düşmanların bir sistemi tamamen ele geçirmesine, veri çalmasına veya bir uygulamanın çalışmasını engellemesine izin verebilir.
CWE Top 25, geliştiricilere, test uzmanlarına ve kullanıcıların yanı sıra proje yöneticilerine, güvenlik araştırmacılarına ve eğitimcilere en ciddi ve güncel güvenlik zayıflıkları hakkında fikir vermede yardımcı olabilecek değerli bir topluluk kaynağıdır.
2021 listesini oluşturmak için CWE Ekibi , Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Ulusal Güvenlik Açığı Veritabanında (NVD) bulunan Ortak Güvenlik Açıkları ve Etkilenmeler (CVE®) verilerinin yanı sıra Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanlarından yararlandı. Her bir CVE kaydıyla ilişkilendirmeler yapıldı. Her bir zayıflığı yaygınlık ve ciddiyete dayalı olarak puanlamak için verilere bir formül uygulandı.
Aşağıda, her birinin toplam puanı da dahil olmak üzere 2021 CWE Top 25’teki zayıf yönlerin kısa bir listesi bulunmaktadır.
Sıra | İD | İsim | Puan | 2020’e göre Sıra Değişikliği |
---|---|---|---|---|
[1] | CWE-787 | Sınır Dışı Yazma | 65.93 | +1 |
[2] | CWE-79 | Web Sayfası Oluşturma Sırasında Girdinin Uygunsuz Nötralizasyonu (‘Siteler Arası Komut Dosyası Oluşturma’) | 46.84 | -1 |
[3] | CWE-125 | Sınır Dışı Okuma | 24,9 | +1 |
[4] | CWE-20 | Yanlış Giriş Doğrulaması | 20.47 | -1 |
[5] | CWE-78 | Bir OS Komutunda (‘OS Komut Enjeksiyonu’) kullanılan Özel Öğelerin Uygunsuz Nötralizasyonu | 19.55 | +5 |
[6] | CWE-89 | Bir SQL Komutunda Kullanılan Özel Öğelerin Uygunsuz Nötralizasyonu (‘SQL Enjeksiyonu’) | 19.54 | 0 |
[7] | CWE-416 | Ücretsiz Sonra Kullan | 16.83 | +1 |
[8] | CWE-22 | Bir Yol Adının Kısıtlanmış Bir Dizine Uygun Olmayan Sınırlandırılması (‘Yol Geçişi’) | 14.69 | +4 |
[9] | CWE-352 | Siteler Arası İstek Sahteciliği (CSRF) | 14.46 | 0 |
[10] | CWE-434 | Tehlikeli Türde Dosyanın Sınırsız Yüklenmesi | 8.45 | +5 |
[11] | CWE-306 | Kritik İşlev için Eksik Kimlik Doğrulaması | 7.93 | +13 |
[12] | CWE-190 | Tamsayı Taşması veya Sarma | 7.12 | -1 |
[13] | CWE-502 | Güvenilmeyen Verilerin Seri Halinden Çıkarılması | 6.71 | +8 |
[14] | CWE-287 | Yanlış Kimlik Doğrulama | 6.58 | 0 |
[15] | CWE-476 | NULL İşaretçi Referansı | 6.54 | -2 |
[16] | CWE-798 | Sabit Kodlu Kimlik Bilgilerinin Kullanımı | 6.27 | +4 |
[17] | CWE-119 | Bir Bellek Arabelleğinin Sınırları İçerisindeki İşlemlerin Uygunsuz Kısıtlanması | 5.84 | -12 |
[18] | CWE-862 | Yetkilendirme Eksik | 5.47 | +7 |
[19] | CWE-276 | Yanlış Varsayılan İzinler | 5.09 | +22 |
[20] | CWE-200 | Hassas Bilgilerin Yetkisiz Bir Aktöre Maruz Kalması | 4.74 | -13 |
[21] | CWE-522 | Yetersiz Korunan Kimlik Bilgileri | 4.21 | -3 |
[22] | CWE-732 | Kritik Kaynak için Yanlış İzin Ataması | 4.2 | -6 |
[23] | CWE-611 | XML Harici Varlık Referansının Uygun Olmayan Kısıtlaması | 4.02 | -4 |
[24] | CWE-918 | Sunucu Tarafı İstek Sahteciliği (SSRF) | 3.78 | +3 |
[25] | CWE-77 | Bir Komutta Kullanılan Özel Öğelerin Uygunsuz Nötralizasyonu (‘Komut Enjeksiyonu’) | 3.58 | +6 |