Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Новое исследование Dogesec раскрывает статистику самых частых уязвимостей

06/11/24

hack127-Nov-06-2024-11-03-25-0591-AM

Согласно новому анализу Dogesec, на протяжении последних лет разработчики продолжают допускать ошибки в безопасности, включая хранение паролей прямо в исходном коде, что ставит под угрозу безопасность ПО. С октября 2023 по сентябрь 2024 года было выявлено 37 439 уязвимостей, из которых 35 346 получили специальные коды CWE, что охватывает 520 уникальных типов ошибок.

Самой распространенной уязвимостью стала CWE-79 – XSS (межсайтовый скриптинг), на долю которой пришлось 6006 случаев — около 17% от всех зарегистрированных, пишет Securitylab.

Уязвимости типа SQL-инъекции (CWE-89) является основополагающим для веб-безопасности и регулярно упоминается в рекомендациях по разработке безопасного кода, включая OWASP.

Другие часто встречающиеся слабости включают CWE-352 (Cross-Site Request Forgery, CSRF), CWE-787 (Out-of-bounds Write, запись за пределы буфера), CWE-862 (Missing Authorization, отсутствие авторизации) и CWE-22 (Path Traversal, обход ограничения пути).

Среди базовых ошибок:

  • CWE-532 (включение чувствительных данных в журналы — 247 случаев),
  • CWE-798 (использование встроенных в код паролей — 213 случаев)
  • CWE-306 (отсутствие аутентификации для критически важной функции — 208 случаев).

Данные уязвимости в основном затрагивают как крупных, так и мелких производителей, включая Cisco и IBM, а также оборудование, прошивки которого сложнее обновлять для устранения подобных проблем.

Данные показывают, что устранение уязвимостей XSS и SQL-инъекции по-прежнему остаётся важной задачей. Разработчики должны уделять внимание предотвращению хранения чувствительных данных в коде, а производители прошивок — внедрению более надежных механизмов защиты в свои продукты.

Темы:ИсследованиестатистикаУгрозыDogesec
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...