TTT 2025 Events
IBM Flashsystem

MITRE จัดอันดับ CWE Top 25 ล่าสุด SQL Injection หลุดแชมป์แล้ว

November 29, 2019 Application Security, Cybersecurity, Featured Posts, IT Knowledge, IT Trends and Updates, Threats Update, Vulnerability and Risk Management

สถาบันวิศวกรรมและพัฒนาระบบของกระทรวงความมั่นคงแห่งมาตุภูมิ สหรัฐฯ ภายใต้การดำเนินงานของ MITRE Corp ได้ทำการจัดอันดับ Common Weakness Enumeration (CWE) สำหรับ Software Error ที่อันตรายที่สุด 25 อันดับประจำปี 2019 ผลปรากฏว่า SQL Injection หลุดแชมป์ช่องโหว่ที่อันตรายที่สุดแล้ว

CWE Top 25 เป็นการจัดอันดับช่องโหว่ด้านความมั่นคงปลอดภัยของซอฟต์แวร์โดยพิจารณาจากความรุนแรงและความนิยม ในปีนี้ ทีม CWE ได้ทำการวิเคราะห์ชุดข้อมูลจาก Common Vulnerabilities and Exposures (CVE) กว่า 25,000 รายการที่เกี่ยวข้องกับช่องโหว่และความมั่นคงปลอดภัยของซอฟต์แวร์ที่ค้นพบในช่วง 2 ปีที่ผ่านมา แทนที่จะใช้การสัมภาษณ์หรือทำแบบสำรวจจากผู้เชี่ยวชาญในอุตสาหกรรมต่างๆ เหมือนในอดีต

CWE Top 25 ไม่ได้อัปเดตมานานถึง 8 ปีเต็ม (ก่อนหน้านี้เป็นการจัดอันดับในปี 2011) ซึ่งผลการจัดอันดับใหม่พบว่า SQL Injection ไม่ได้เป็นช่องโหว่ที่มีความเสี่ยงต่อซอฟต์แวร์มากที่สุดอีกต่อไป อันดับ 1 ตกเป็น Improper Restriction of Operations within the Bounds of a Memory Buffer ตามมาด้วย Cross-site Scripting และ Improper Input Validation

2019 CWE Top 25 Most Dangerous Software Errors ประกอบด้วย

Rank ID Name Score
[1] CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer 75.56
[2] CWE-79 Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) 45.69
[3] CWE-20 Improper Input Validation 43.61
[4] CWE-200 Information Exposure 32.12
[5] CWE-125 Out-of-bounds Read 26.53
[6] CWE-89 Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) 24.54
[7] CWE-416 Use After Free 17.94
[8] CWE-190 Integer Overflow or Wraparound 17.35
[9] CWE-352 Cross-Site Request Forgery (CSRF) 15.54
[10] CWE-22 Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) 14.10
[11] CWE-78 Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) 11.47
[12] CWE-787 Out-of-bounds Write 11.08
[13] CWE-287 Improper Authentication 10.78
[14] CWE-476 NULL Pointer Dereference 9.74
[15] CWE-732 Incorrect Permission Assignment for Critical Resource 6.33
[16] CWE-434 Unrestricted Upload of File with Dangerous Type 5.50
[17] CWE-611 Improper Restriction of XML External Entity Reference 5.48
[18] CWE-94 Improper Control of Generation of Code (‘Code Injection’) 5.36
[19] CWE-798 Use of Hard-coded Credentials 5.12
[20] CWE-400 Uncontrolled Resource Consumption 5.04
[21] CWE-772 Missing Release of Resource after Effective Lifetime 5.04
[22] CWE-426 Untrusted Search Path 4.40
[23] CWE-502 Deserialization of Untrusted Data 4.30
[24] CWE-269 Improper Privilege Management 4.23
[25] CWE-295 Improper Certificate Validation 4.06

ผู้ที่สนใจสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่และวิธีการจัดอันดับได้ที่: https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ฟอร์ติเน็ต ดันศักยภาพแพลตฟอร์มรักษาความปลอดภัย OT เพื่อปกป้องโครงสร้างพื้นฐานสำคัญได้แข็งแกร่งยิ่งขึ้น [PR]

เพิ่มการอัปเดตแพลตฟอร์มรักษาความปลอดภัยระบบ OT ครอบคลุมที่สุดในอุตสาหกรรม เสริมประสิทธิภาพด้านการมองเห็น การแบ่งส่วนเครือข่าย และการเชื่อมต่อที่ปลอดภัย ไร้กังวล

การปกป้องข้อมูลจาก Ransomware ที่ปลอดภัยที่สุด และไม่ต้องลงทุนสูง

องค์กรที่งบไม่หนา ก็ยังสู้ภัย Ransomware ได้แบบสบายๆ ลดความเสียหายได้แบบสบายกระเป๋า! อยากให้ทุกท่านได้อ่านบทความนี้ และพิจารณาถึงความเป็นจริง หลายองค์กรนิยมการ สำรองข้อมูลแบบ Disk-to-Disk เป็นหลัก เนื่องจากมีความเร็วและสะดวกในการใช้งาน อย่างไรก็ตามแรนซัมแวร์ได้พัฒนาความสามารถในการโจมตีโดยตรงไปยังระบบสำรองข้อมูล ออนไลน์เหล่านี้ และเข้ารหัสข้อมูลสำรอง …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand