06/11/24
Согласно новому анализу Dogesec, на протяжении последних лет разработчики продолжают допускать ошибки в безопасности, включая хранение паролей прямо в исходном коде, что ставит под угрозу безопасность ПО. С октября 2023 по сентябрь 2024 года было выявлено 37 439 уязвимостей, из которых 35 346 получили специальные коды CWE, что охватывает 520 уникальных типов ошибок.
Самой распространенной уязвимостью стала CWE-79 – XSS (межсайтовый скриптинг), на долю которой пришлось 6006 случаев — около 17% от всех зарегистрированных, пишет Securitylab.
Уязвимости типа SQL-инъекции (CWE-89) является основополагающим для веб-безопасности и регулярно упоминается в рекомендациях по разработке безопасного кода, включая OWASP.
Другие часто встречающиеся слабости включают CWE-352 (Cross-Site Request Forgery, CSRF), CWE-787 (Out-of-bounds Write, запись за пределы буфера), CWE-862 (Missing Authorization, отсутствие авторизации) и CWE-22 (Path Traversal, обход ограничения пути).
Среди базовых ошибок:
- CWE-532 (включение чувствительных данных в журналы — 247 случаев),
- CWE-798 (использование встроенных в код паролей — 213 случаев)
- CWE-306 (отсутствие аутентификации для критически важной функции — 208 случаев).
Данные уязвимости в основном затрагивают как крупных, так и мелких производителей, включая Cisco и IBM, а также оборудование, прошивки которого сложнее обновлять для устранения подобных проблем.
Данные показывают, что устранение уязвимостей XSS и SQL-инъекции по-прежнему остаётся важной задачей. Разработчики должны уделять внимание предотвращению хранения чувствительных данных в коде, а производители прошивок — внедрению более надежных механизмов защиты в свои продукты.
