NTT
Breaking News

MITRE จัดอันดับ CWE Top 25 ล่าสุด SQL Injection หลุดแชมป์แล้ว

November 29, 2019 Application Security, Featured Posts, IT Knowledge, IT Trends and Updates, Security, Threats Update, Vulnerability and Risk Management

สถาบันวิศวกรรมและพัฒนาระบบของกระทรวงความมั่นคงแห่งมาตุภูมิ สหรัฐฯ ภายใต้การดำเนินงานของ MITRE Corp ได้ทำการจัดอันดับ Common Weakness Enumeration (CWE) สำหรับ Software Error ที่อันตรายที่สุด 25 อันดับประจำปี 2019 ผลปรากฏว่า SQL Injection หลุดแชมป์ช่องโหว่ที่อันตรายที่สุดแล้ว

CWE Top 25 เป็นการจัดอันดับช่องโหว่ด้านความมั่นคงปลอดภัยของซอฟต์แวร์โดยพิจารณาจากความรุนแรงและความนิยม ในปีนี้ ทีม CWE ได้ทำการวิเคราะห์ชุดข้อมูลจาก Common Vulnerabilities and Exposures (CVE) กว่า 25,000 รายการที่เกี่ยวข้องกับช่องโหว่และความมั่นคงปลอดภัยของซอฟต์แวร์ที่ค้นพบในช่วง 2 ปีที่ผ่านมา แทนที่จะใช้การสัมภาษณ์หรือทำแบบสำรวจจากผู้เชี่ยวชาญในอุตสาหกรรมต่างๆ เหมือนในอดีต

CWE Top 25 ไม่ได้อัปเดตมานานถึง 8 ปีเต็ม (ก่อนหน้านี้เป็นการจัดอันดับในปี 2011) ซึ่งผลการจัดอันดับใหม่พบว่า SQL Injection ไม่ได้เป็นช่องโหว่ที่มีความเสี่ยงต่อซอฟต์แวร์มากที่สุดอีกต่อไป อันดับ 1 ตกเป็น Improper Restriction of Operations within the Bounds of a Memory Buffer ตามมาด้วย Cross-site Scripting และ Improper Input Validation

2019 CWE Top 25 Most Dangerous Software Errors ประกอบด้วย

Rank ID Name Score
[1] CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer 75.56
[2] CWE-79 Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) 45.69
[3] CWE-20 Improper Input Validation 43.61
[4] CWE-200 Information Exposure 32.12
[5] CWE-125 Out-of-bounds Read 26.53
[6] CWE-89 Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) 24.54
[7] CWE-416 Use After Free 17.94
[8] CWE-190 Integer Overflow or Wraparound 17.35
[9] CWE-352 Cross-Site Request Forgery (CSRF) 15.54
[10] CWE-22 Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) 14.10
[11] CWE-78 Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) 11.47
[12] CWE-787 Out-of-bounds Write 11.08
[13] CWE-287 Improper Authentication 10.78
[14] CWE-476 NULL Pointer Dereference 9.74
[15] CWE-732 Incorrect Permission Assignment for Critical Resource 6.33
[16] CWE-434 Unrestricted Upload of File with Dangerous Type 5.50
[17] CWE-611 Improper Restriction of XML External Entity Reference 5.48
[18] CWE-94 Improper Control of Generation of Code (‘Code Injection’) 5.36
[19] CWE-798 Use of Hard-coded Credentials 5.12
[20] CWE-400 Uncontrolled Resource Consumption 5.04
[21] CWE-772 Missing Release of Resource after Effective Lifetime 5.04
[22] CWE-426 Untrusted Search Path 4.40
[23] CWE-502 Deserialization of Untrusted Data 4.30
[24] CWE-269 Improper Privilege Management 4.23
[25] CWE-295 Improper Certificate Validation 4.06

ผู้ที่สนใจสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่และวิธีการจัดอันดับได้ที่: https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html

Tags



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[วิดีโอ] Cisco Webex in Minutes: วิธีใช้ Cisco Webex เบื้องต้น (บรรยายไทย)

คลิปวิดีโอความยาว 7 นาทีนี้จะอธิบายการใช้งาน Cisco Webex เบื้องต้นสำหรับการประชุมออนไลน์ ไม่ว่าจะเป็น การสร้างห้องประชุมแบบทันที, การสร้างห้องประชุมแบบนัดหมายล่วงหน้า, การเชิญคนเข้าร่วมประชุม, การติดตั้งแอป Cisco Webex Meetings สำหรับการประชุมครั้งแรก …

มาตรฐาน 800 Gigabit Ethernet ถูกประกาศอย่างเป็นทางการแล้ว

Ethernet Technology Consortium ได้ออกมาประกาศเปิดตัวมาตรฐาน 800 Gigabit Ethernet อย่างเป็นทางการแล้ว

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand