SQL 注入错误不再是首要软件安全问题
星期二, 十二月 17, 2019
新更新的通用缺陷列表 (CWE) 中,SQL 注入现只列第六位。
SQL 注入错误不再被认为是最严重或最普遍的软件安全问题。
顶替 SQL 注入位列最危险软件错误通用缺陷列表 (CWE) 榜首的,是 “内存缓冲区边界内操作的不恰当限制”。跨站脚本 (XSS) 错误列第二,紧随其后的是不恰当输入验证、信息暴露和边界外读取错误。SQL 注入缺陷现在在榜单上所有严重安全漏洞中间只排第六。
美国国土安全部 (DHS) 系统工程与开发研究所由 MITRE 公司运营,近日,该机构发布了一份软件错误 Top 25 CWE 列表更新。该列表按普遍程度和严重性排序安全漏洞,此次更新还是八年来的首次。
CWE 团队调查了过去两年间的通用漏洞与暴露 (CVE) 数据集,条目数量约 2.5 万条,重点放在既普遍又可导致严重损害的软件安全缺陷上。影响很小或不常出现的问题就被过滤掉了。
以前,CWE 列表编撰者采用更为主观的方法,基于对业内专家的个人采访和问卷调查编辑此列表。
11 月 27 日的声明中,CWE 项目主管 Chris Levendis 称:
我们转向了数据驱动的方法,因为该方法能够产生持续而可重复的分析,反映我们在现实世界中看到的问题。在迈向未来的路上,我们将持续完善该方法学。
CWE 和开放 Web 应用安全项目 (OWASP) 之类列表中的软件安全漏洞,旨在提起开发人员对常见安全错误的注意。目标是帮助开发人员改善软件质量,辅助他们和测试人员检查代码中的安全问题。但多年来,这些列表中的条目几乎没变,说明开发人员一直在重复这些同样的错误。
KnowBe4 安全意识倡导者 Javvad Malik 称:
这凸显出了令人遗憾的现实:尽管我们做了很多努力,安全仍未足够有效地嵌入到开发社区或企业保障框架中。这并不是说我们不知道怎么发现和修复这些问题,也不是说我们不懂得怎样防止这些问题发生;但就是存在一种软件发售高于安全要求的文化。
Web 安全公司 ImmuniWeb 创始人兼首席执行官 Ilia Kolochenko 表示,新列表和风险排序方法意义重大,但列表中的某些条目可能会引发一些争议。
比如说,跨站脚本错误虽然常见,却并不特别容易被利用。除非是现成的,否则 XSS 的成功利用通常需要至少一点点社会工程和与受害者的互动。
对于列表中的其他条目也可以做出类似的评论,争论业务关键系统中漏洞的普遍性、检测和利用的难度、阻止的成本,以及修复时间。
全盘同意不太可能达成。所以最好是有不同的分类和评分,这样在整合之后就能够提供对当前漏洞态势的全面概览。
Top 25 CWE:
https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html
相关阅读