Chanzo: www.hackerone.com – Mwandishi: Hackerone. Udhaifu wa kawaida wa udhaifu (CWE) ni mfumo wa kuainisha dosari za usalama wa programu na vifaa – kasoro za utekelezaji ambazo zinaweza kusababisha udhaifu. Ni mradi wa jamii kuelewa udhaifu wa usalama au makosa katika kanuni na udhaifu na kuunda vifaa vya kusaidia kuwazuia. Shirika la MITER linafanya kazi CWE, na Idara ya Usalama ya Kitaifa ya Cyber na Amerika-Cert inaunga mkono. CWE ina zaidi ya vikundi 600 vinavyoelezea aina tofauti za udhaifu na mende. CWE inajitahidi kuzuia udhaifu na mende kwa kuelimisha watengenezaji juu ya kujenga bidhaa bora ambazo haziwezi kutumiwa. Watengenezaji wa programu wanaweza kutumia CWE kama rasilimali wakati wa kuandika msimbo kuzuia udhaifu wakati wa mchakato wa maendeleo. Orchestration ya usalama, automatisering, na zana za majibu (SOAR) hutumia CWEs kujenga sera na kazi za kufanya kazi ili kurekebisha kurekebisha. Katika nakala hii: CWE Juu 25 ni nini? CWE Juu 25 ni orodha ya udhabiti iliyokusanywa na Shirika la Miter. Inaorodhesha udhaifu wa kawaida wa usalama na athari kali zaidi kulingana na udhaifu wa kawaida na mfiduo (CWE). Inatokana na utafiti unaoendelea, pamoja na mahojiano na uchunguzi wa wachambuzi wa usalama, wauzaji, na watengenezaji. Habari ya juu ya ramani 25 kutoka kwa Hifadhidata ya Kitaifa ya Uhalifu ya Serikali ya Amerika (NVD), na makadirio ya ukali kulingana na Mfumo wa kawaida wa Kuweka Urafiki (CVSS). Algorithm ya bao huamua ukali wa udhaifu huo kwa kutumia njia inayoendeshwa na data kusasisha orodha mara kwa mara. 2022 CWE Juu 25 ni pamoja na: CWE-787-uandishi wa nje ya mipaka. Alama ya ukali: 64.20 CWE-79-pembejeo isiyo na maana wakati wa kutengeneza kurasa za wavuti (maandishi ya tovuti ya msalaba). Alama ya ukali: 45.97. CWE-89-Vipengee visivyofaa vya kutofautisha katika amri za SQL (sindano ya SQL). Alama ya ukali: 22.11 CWE-20-Uingizaji usio halali. Alama ya ukali: 20.63. CWE-125-Kusoma kwa mipaka. Alama ya ukali: 17.67. CWE-78-Kubadilisha vibaya vitu maalum katika amri za mfumo wa uendeshaji (sindano ya amri ya OS). Alama ya Ukali: 17.53. CWE-416-Kutumia baada ya bure. Alama ya ukali: 15.50. CWE-22-Majina ya kuzuia vibaya kwa saraka zilizozuiliwa (njia ya trafiki). Alama ya ukali: 14.08. CWE-352-Ombi la Ombi la Wavuti (CSRF). Alama ya ukali: 11.53. CWE-434-upakiaji usiozuiliwa wa faili zilizo na aina hatari. Alama ya ukali: 9.56. CWE-476-Null pointer dereferencing. Alama ya ukali: 7.15. CWE-502-Kuondoa data isiyoaminika. Alama ya ukali: 6.68. CWE-190-Integer kufurika au kufurika. Alama ya ukali: 6.53. CWE-287-Uthibitishaji usiofaa. Alama ya ukali: 6.35. CWE-798-Kutumia sifa ngumu. Alama ya ukali: 5.66. CWE-862-idhini iliyokosekana. Alama ya ukali: 5.53. CWE-77-Kubadilisha vibaya vitu maalum katika amri (sindano ya amri). Alama ya ukali: 5.42. CWE-306-Uthibitishaji wa kukosa kwa kazi muhimu. Alama ya ukali: 5.15. CWE-119-Kuzuia vibaya shughuli katika buffers za kumbukumbu. Alama ya Ukali: 4.85. CWE-276-ruhusa sahihi za chaguo-msingi. Alama ya Ukali: 4.84 CWE-918-Ombi la upande wa Server (SSRF). Alama ya Ukali: 4.27. CWE-362-Utekelezaji wa wakati mmoja na rasilimali zilizoshirikiwa na maingiliano yasiyofaa (hali ya mbio). Alama ya ukali: 3.57. CWE-400-Matumizi ya rasilimali isiyodhibitiwa. Alama ya ukali: 3.56. CWE-611-Kuzuia marejeleo ya chombo cha nje cha XML. Alama ya ukali: 3.38. CWE-94-Udhibiti usiofaa wa kizazi cha msimbo (sindano ya msimbo). Alama ya ukali: 3.32. Mfano wa CWE: Je! Ni cwes gani hatari zaidi? Ifuatayo ni udhaifu tatu kutoka CWE Juu 25 ambayo inaleta hatari kubwa ya usalama. Uthibitisho wa pembejeo batili (CWE-20) Udhaifu huu unahusiana na shida katika mtiririko wa data ya programu. Ikiwa programu haitaangalia vizuri data yote, pembejeo zinaweza kuishia katika maeneo yasiyotarajiwa. Kosa hili linaathiri programu ambazo zinakubali data ya nje, ikiruhusu washambuliaji kubadilisha mtiririko wa data au kutekeleza nambari ya kiholela. Washambuliaji wanaweza kuingiza msimbo mbaya katika kitu kilichopo cha data kupata habari ya siri. Kusoma-kwa-mipaka (CWE-125) Udhaifu huu ni wa kawaida katika matumizi mengi. Inatokea wakati buffer ya mfumo haiwezi kudhibiti kiwango cha data inayotumiwa na programu. Hitilafu hii inaruhusu washambuliaji kusoma data nyeti kama anwani za kawaida na kutumia maeneo ya kumbukumbu. Inaweza pia kusababisha mfumo kuanguka. Watapeli wengi hutumia makosa ya sehemu na kufurika kwa buffer kutumia udhaifu wa kusoma. Watengenezaji lazima watumie njia za uthibitisho wa pembejeo kupunguza hatari, haswa katika nambari ya C au C ++. Kizuizi kisicho sahihi cha shughuli katika buffer ya kumbukumbu (CWE-119) hatari hii inaruhusu programu kusoma juu ya mipaka ya kumbukumbu ya kumbukumbu ya kumbukumbu. Inawaruhusu washambuliaji kuanzisha nambari mbaya kwa kuchukua nafasi ya kumbukumbu 64. Wanaweza kuharibu kumbukumbu ya programu na kuathiri data muhimu ya usalama. Udhaifu wa kumbukumbu ya kumbukumbu huwezesha Hackare kupata data nyeti, mabadiliko ya udhibiti wa mtiririko, kutekeleza nambari mbaya, na kupasuka kifaa cha lengo. Lugha ya programu, jukwaa, na usanifu wa chip huathiri athari za suala hili. Kusimamia kumbukumbu husaidia kupunguza hatari. Je! Programu inayolingana na CWE ni nini? Programu ya utangamano wa CWE inasajili bidhaa au huduma kama za CWE zinazolingana au za CWE. Bidhaa zinazolingana husaidia mashirika katika kukagua matumizi yao kwa udhaifu na dosari zinazojulikana. Kwa sifa ya utangamano wa CWE, bidhaa ya huduma lazima ifikie mahitaji manne ya kwanza kati ya sita, wakati bidhaa na huduma zenye ufanisi wa CWE lazima zifikie sita zote. CWE Inaweza Kutafutwa – Watumiaji wanaweza kutafuta vitu kwa kutumia vitambulisho vya CWE. Pato la CWE – Vitu vilivyowasilishwa kwa watumiaji ni pamoja na, au hupatikana vitambulisho vya CWE vinavyohusika. Usahihi wa ramani – Vitu vya usalama vinaunganisha kwa usahihi na vitambulisho sahihi vya CWE. Nyaraka za CWE-Nyaraka za uwezo zinaelezea utangamano wa CWE, CWE, na utendaji unaohusiana na CWE. UCHAMBUZI WA CWE-Nyaraka za Uwezo zinaorodhesha waziwazi CWE ambazo uwezo huo unadai chanjo na ufanisi dhidi ya. Matokeo ya Mtihani wa CWE-Kwa ufanisi wa CWE, matokeo ya mtihani wa uwezo lazima kuonyesha tathmini ya programu ya CWE, na matokeo ya mtihani lazima yaonekane kwenye wavuti ya CWE. CWE dhidi ya CVE tofauti ya msingi kati ya CWE na CVE ni kwamba CWES inaangazia udhaifu, sio mfano maalum wa moja ndani ya bidhaa. Kwa mfano, CVE inaweza kuelezea udhaifu fulani ndani ya mfumo wa uendeshaji ambao unaruhusu washambuliaji kutekeleza msimbo kwa mbali. Uingilio huu wa CVE unaelezea tu hatari hii kwa bidhaa moja. CWE inaelezea hatari ya kujitegemea kutoka kwa bidhaa yoyote. CWE imekuwa lugha ya kawaida ya kujadili kuondoa au kupunguza udhaifu wa usalama wa programu. Kwa sababu watengenezaji wanapata data kuhusu udhaifu mapema katika maisha ya bidhaa, wanaweza kujenga bidhaa bila udhaifu wa kuondoa maswala ya usalama yanayofuata. Hii inaruhusu watengenezaji kushika kasi na maisha ya haraka ya maendeleo, kujenga bidhaa bora, kuziachilia haraka kwa wateja, kupunguza nyuso za shambulio, na kuzuia utapeli zaidi. Mifano michache ya CWE iko chini: nje ya mipaka andika tovuti ya maandishi ya maandishi yasiyofaa ya uthibitisho kukosa uthibitishaji kwa kazi muhimu ni nini CWSS na inalinganishaje na CVSS? Tofauti kuu kati ya CWSS na CVSS ni kwamba wakati CVSS ni tendaji, CWSS ni njia ya haraka ya cybersecurity. CVSS inasimama kwa mfumo wa kawaida wa bao la udhaifu, alama za udhaifu kulingana na hatari. Udhaifu ni dosari za usalama ambazo washambuliaji wanaweza kutumia ili kupata mfumo. Mfumo wa Udhaifu wa Udhaifu wa Kawaida (CWSS) ni mfumo ambao huandika udhaifu wa programu ili watengenezaji waweze kupunguza idadi ya mende na udhaifu wanaoanzisha katika mfumo wa moja kwa moja. Tofauti kubwa kati ya mifumo ya bao ni kwamba CWSS ni ya haraka, wakati CVSS ni tendaji. Mifumo yote ya bao inaweza kuzuia udhaifu na kuweka kipaumbele kusamehewa kwa dosari zilizopo wakati timu za usalama zinazitumia pamoja. CWSS hutumia vigezo vitatu kusaidia watengenezaji kutanguliza udhaifu wa msingi wa programu: Uso wa Attack-upatikanaji wa msingi wa udhaifu-hatari ya udhaifu, kiwango cha usahihi, na ufanisi wa udhibiti wa mazingira-sehemu za udhaifu ambao ni alama maalum kwa CWSS ni kati ya sifuri na 100. CVSS hutumia metriki zinazofanana wakati wa kuhesabu alama lakini inafanya kazi kwa anuwai ya sifuri hadi kumi kwa kutumia vigezo vifuatavyo: msingi – sifa za upungufu wa usalama wa muda – metri ambayo inabadilika na wakati kwa sababu ya mambo ya nje – a Metric ambayo hupima athari za udhaifu katika shirika lako wakati timu za kurekebisha zinaweza kutumia mifumo yote miwili, alama zao haziendani. Hata kama alama zilibadilishwa, idadi yao ingeonyesha tofauti katika kila mfumo. Jinsi Hackerone inaweza kusaidia Hackerone huleta ujuzi maalum na utaalam wa kikoa kusaidia timu za usalama kuongeza upimaji katika nyuso za shambulio. Kwa mtazamo wa wataalam wenye ujuzi, njia tofauti, uzoefu, na maarifa, watekaji wa maadili huwasilisha udhaifu ambao zana za skanning za jadi zinakosa. Uchumi wa hatari ya Hackerone ni pamoja na hifadhidata kamili ya udhaifu kulingana na CWE ya kiwango cha tasnia. Wateja wanaweza kutegemea data ya Hackerone kutoa akili isiyoweza kupatikana ya hatari na kutumia data hiyo kuboresha mikakati ya usalama. Ripoti za udhabiti zinaitwa na udhaifu, ama kwa Hacker katika uwasilishaji wa ripoti au baadaye na timu yetu ya triage. Hii inaruhusu mashirika kushughulikia kwanza udhaifu muhimu zaidi, kupunguza hatari ya cyber na kutoa ulinzi mkubwa kwa nyuso zao za shambulio. Wasiliana nasi ili ujifunze zaidi. URL ya chapisho la asili: https://www.hackerone.com/blog/cwe-common-weakness-enumeration-and-cwe-top-25-explained
Leave a Reply