Breaking News

MITRE จัดอันดับ CWE Top 25 ล่าสุด SQL Injection หลุดแชมป์แล้ว

สถาบันวิศวกรรมและพัฒนาระบบของกระทรวงความมั่นคงแห่งมาตุภูมิ สหรัฐฯ ภายใต้การดำเนินงานของ MITRE Corp ได้ทำการจัดอันดับ Common Weakness Enumeration (CWE) สำหรับ Software Error ที่อันตรายที่สุด 25 อันดับประจำปี 2019 ผลปรากฏว่า SQL Injection หลุดแชมป์ช่องโหว่ที่อันตรายที่สุดแล้ว

CWE Top 25 เป็นการจัดอันดับช่องโหว่ด้านความมั่นคงปลอดภัยของซอฟต์แวร์โดยพิจารณาจากความรุนแรงและความนิยม ในปีนี้ ทีม CWE ได้ทำการวิเคราะห์ชุดข้อมูลจาก Common Vulnerabilities and Exposures (CVE) กว่า 25,000 รายการที่เกี่ยวข้องกับช่องโหว่และความมั่นคงปลอดภัยของซอฟต์แวร์ที่ค้นพบในช่วง 2 ปีที่ผ่านมา แทนที่จะใช้การสัมภาษณ์หรือทำแบบสำรวจจากผู้เชี่ยวชาญในอุตสาหกรรมต่างๆ เหมือนในอดีต

CWE Top 25 ไม่ได้อัปเดตมานานถึง 8 ปีเต็ม (ก่อนหน้านี้เป็นการจัดอันดับในปี 2011) ซึ่งผลการจัดอันดับใหม่พบว่า SQL Injection ไม่ได้เป็นช่องโหว่ที่มีความเสี่ยงต่อซอฟต์แวร์มากที่สุดอีกต่อไป อันดับ 1 ตกเป็น Improper Restriction of Operations within the Bounds of a Memory Buffer ตามมาด้วย Cross-site Scripting และ Improper Input Validation

2019 CWE Top 25 Most Dangerous Software Errors ประกอบด้วย

Rank ID Name Score
[1] CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer 75.56
[2] CWE-79 Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) 45.69
[3] CWE-20 Improper Input Validation 43.61
[4] CWE-200 Information Exposure 32.12
[5] CWE-125 Out-of-bounds Read 26.53
[6] CWE-89 Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) 24.54
[7] CWE-416 Use After Free 17.94
[8] CWE-190 Integer Overflow or Wraparound 17.35
[9] CWE-352 Cross-Site Request Forgery (CSRF) 15.54
[10] CWE-22 Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) 14.10
[11] CWE-78 Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) 11.47
[12] CWE-787 Out-of-bounds Write 11.08
[13] CWE-287 Improper Authentication 10.78
[14] CWE-476 NULL Pointer Dereference 9.74
[15] CWE-732 Incorrect Permission Assignment for Critical Resource 6.33
[16] CWE-434 Unrestricted Upload of File with Dangerous Type 5.50
[17] CWE-611 Improper Restriction of XML External Entity Reference 5.48
[18] CWE-94 Improper Control of Generation of Code (‘Code Injection’) 5.36
[19] CWE-798 Use of Hard-coded Credentials 5.12
[20] CWE-400 Uncontrolled Resource Consumption 5.04
[21] CWE-772 Missing Release of Resource after Effective Lifetime 5.04
[22] CWE-426 Untrusted Search Path 4.40
[23] CWE-502 Deserialization of Untrusted Data 4.30
[24] CWE-269 Improper Privilege Management 4.23
[25] CWE-295 Improper Certificate Validation 4.06

ผู้ที่สนใจสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่และวิธีการจัดอันดับได้ที่: https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[CEBIT Webinar] ขอเชิญร่วมงาน CEBIT ASEAN Thailand Webinar Series : July 2020 : E-Commerce Day วันที่ 24 ก.ค.2020

หลังผ่านพ้นวิกฤต COVID-19 ธุรกิจอีคอมเมิร์ซจะเปลี่ยนไป คุณพร้อมหรือยังที่จะก้าวต่อไป?  CEBIT ASEAN Thailand 2020 ขอเชิญทุกท่านที่สนใจเข้าร่วมฟังสัมมนาออนไลน์ CEBIT ASEAN Thailand Webinar Series : …

โปรโมชันพิเศษจาก Fortinet: PDPA Starter Kit & Secure SD-Branch เริ่มต้นที่ 14,500 บาท

Fortinet ออก 2 โปรโมชันพิเศษสำหรับธุรกิจ SMB ที่ต้องการเตรียมความพร้อมเพื่อรองรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคล และองค์กรที่เพิ่งเปิดสำนักงานสาขาใหม่หรือต้องการยกระดับการเชื่อมต่ออย่างมั่นคงปลอดภัยผ่าน Secure SD-WAN ในราคาเริ่มต้นเพียงเดือนละ 14,500 บาท