สถาบันวิศวกรรมและพัฒนาระบบของกระทรวงความมั่นคงแห่งมาตุภูมิ สหรัฐฯ ภายใต้การดำเนินงานของ MITRE Corp ได้ทำการจัดอันดับ Common Weakness Enumeration (CWE) สำหรับ Software Error ที่อันตรายที่สุด 25 อันดับประจำปี 2019 ผลปรากฏว่า SQL Injection หลุดแชมป์ช่องโหว่ที่อันตรายที่สุดแล้ว

CWE Top 25 เป็นการจัดอันดับช่องโหว่ด้านความมั่นคงปลอดภัยของซอฟต์แวร์โดยพิจารณาจากความรุนแรงและความนิยม ในปีนี้ ทีม CWE ได้ทำการวิเคราะห์ชุดข้อมูลจาก Common Vulnerabilities and Exposures (CVE) กว่า 25,000 รายการที่เกี่ยวข้องกับช่องโหว่และความมั่นคงปลอดภัยของซอฟต์แวร์ที่ค้นพบในช่วง 2 ปีที่ผ่านมา แทนที่จะใช้การสัมภาษณ์หรือทำแบบสำรวจจากผู้เชี่ยวชาญในอุตสาหกรรมต่างๆ เหมือนในอดีต
CWE Top 25 ไม่ได้อัปเดตมานานถึง 8 ปีเต็ม (ก่อนหน้านี้เป็นการจัดอันดับในปี 2011) ซึ่งผลการจัดอันดับใหม่พบว่า SQL Injection ไม่ได้เป็นช่องโหว่ที่มีความเสี่ยงต่อซอฟต์แวร์มากที่สุดอีกต่อไป อันดับ 1 ตกเป็น Improper Restriction of Operations within the Bounds of a Memory Buffer ตามมาด้วย Cross-site Scripting และ Improper Input Validation
2019 CWE Top 25 Most Dangerous Software Errors ประกอบด้วย
Rank | ID | Name | Score |
---|---|---|---|
[1] | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer | 75.56 |
[2] | CWE-79 | Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) | 45.69 |
[3] | CWE-20 | Improper Input Validation | 43.61 |
[4] | CWE-200 | Information Exposure | 32.12 |
[5] | CWE-125 | Out-of-bounds Read | 26.53 |
[6] | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) | 24.54 |
[7] | CWE-416 | Use After Free | 17.94 |
[8] | CWE-190 | Integer Overflow or Wraparound | 17.35 |
[9] | CWE-352 | Cross-Site Request Forgery (CSRF) | 15.54 |
[10] | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) | 14.10 |
[11] | CWE-78 | Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) | 11.47 |
[12] | CWE-787 | Out-of-bounds Write | 11.08 |
[13] | CWE-287 | Improper Authentication | 10.78 |
[14] | CWE-476 | NULL Pointer Dereference | 9.74 |
[15] | CWE-732 | Incorrect Permission Assignment for Critical Resource | 6.33 |
[16] | CWE-434 | Unrestricted Upload of File with Dangerous Type | 5.50 |
[17] | CWE-611 | Improper Restriction of XML External Entity Reference | 5.48 |
[18] | CWE-94 | Improper Control of Generation of Code (‘Code Injection’) | 5.36 |
[19] | CWE-798 | Use of Hard-coded Credentials | 5.12 |
[20] | CWE-400 | Uncontrolled Resource Consumption | 5.04 |
[21] | CWE-772 | Missing Release of Resource after Effective Lifetime | 5.04 |
[22] | CWE-426 | Untrusted Search Path | 4.40 |
[23] | CWE-502 | Deserialization of Untrusted Data | 4.30 |
[24] | CWE-269 | Improper Privilege Management | 4.23 |
[25] | CWE-295 | Improper Certificate Validation | 4.06 |
ผู้ที่สนใจสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่และวิธีการจัดอันดับได้ที่: https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html