关于 CWE , CVE, OWASP, CVSS

分类:安全 |

Common Weakness Enumeration ( CWE ) 数据库是一个社区开发的项目,它提供组织技术堆栈的软件和硬件中的常见漏洞目录。该数据库包括对常见弱点的详细描述并指导安全编码标准。

什么是常见缺陷枚举?

通用缺陷枚举(CWE)数据库列出了任何硬件或软件产品的网络弱点。CWE识别并分类漏洞类型、与漏洞相关的安全问题,以及为解决检测到的安全漏洞而可能采取的预防措施。

在Mitre的支持下,CWE 是一个社区开发的目录,用于实施数据驱动的网络安全方法。安全团队通常依赖 CWE 的软件缺陷目录作为安全编码实践和设计漏洞管理程序的输入。CWE还被认为是管理网络供应链风险的关键,因为它可以用来识别和解决企业网络的第三方组件中的潜在安全漏洞。

什么是 CWE 漏洞?

CWE漏洞是软件和硬件系统的缺陷,如果不加以注意,会导致安全问题。CWE数据库对超过600类和基本级别的弱点进行分类,最严重的类型列在CWE Top 25。该数据库列出了漏洞及其影响,帮助组织了解攻击面,并确定加固底层系统的方法。

常见的弱点枚举示例

CWE 列表中的一些常见安全漏洞类型包括:

越界写入 (CWE-787)

当应用程序在预期输入缓冲区的边界之外写入数据时,就会出现这种安全漏洞。当应用程序执行指针运算或更改索引以引用内存缓冲区之外的位置时,也可能导致该弱点。这种内存损坏通常会导致意外的代码执行、崩溃或数据损坏。

越界写入漏洞极有可能被利用,国家漏洞数据库 (NVD)计数为3033。攻击的严重性也很高,平均通用漏洞评分系统 (CVSS) 得分为8.22,总体安全得分为65.93。

越界读取 (CWE-125)

当应用程序可以读取预期输出缓冲区边界之外的数据时,就会出现 CWE-125 漏洞。攻击者可以从越界内存中读取敏感信息,以获取可用于绕过身份验证机制并利用其他弱点进行进一步攻击的秘密值。

该漏洞还可能导致内存缓冲区溢出、分段错误,甚至系统崩溃。当应用程序读取可变数据值时,可能会发生这种情况,假设存在一个进程来终止所述缓冲存储器之外的读取操作。

CWE-125 弱点是一个中等严重的攻击向量,CVSS 得分为6.94,NVD 计数为1448,总体安全得分为24.9。

输入中和不当 (CWE-79)

也称为跨站点脚本 (XSS),当攻击者可以将恶意代码注入网站时,就会出现此漏洞,通常使用浏览器端脚本。该弱点在动态生成的网页中接受不受信任的数据而没有适当中和的应用程序中很常见。在这种情况下,恶意脚本/数据用于执行不利的操作,例如在 Web 服务器的安全上下文中传输敏感数据或发送异常 HTTP 请求。

CWE-79 漏洞被利用的可能性很高,NVD 计数为3564。这种攻击的严重性是中等的,该漏洞的平均 CVSS 得分为5.8,总体 CWE 安全得分为46.84。

输入验证不当 (CWE-20)

CWE-20 弱点出现在接受输入数据但未正确验证所提供输入是否具有安全处理所需属性的应用程序中。当应用程序接收到更改的控制流路径时,攻击者可以制作访问有限资源或远程代码执行的意外输入。输入验证弱点通常是由于在 SDLC 中实施架构概念或采用开发最佳实践方面存在缺陷。

软件中不正确的输入验证缺陷的严重性是轻微的,平均 CVSS 得分为7.25。可利用性的可能性中等,NVD 计数为1120,总体安全分数为20.47。

特殊元素中和不当 (CWE-78)

CWE-78 漏洞发生在使用上游组件提供的外部输入构建部分或整个操作系统命令的软件应用程序中。此漏洞也称为OS 命令注入,当应用程序未消除输入中存在的元素时,该漏洞处于活动状态,这些元素在发送到预期的下游组件时可能会修改命令。

CWE 78 漏洞允许攻击者直接在操作系统上执行命令,而无需直接访问平台。由于攻击者可以滥用特权程序来获取权限并指定默认情况下无法访问的命令,因此操作系统命令注入通常会导致权限管理不当。

操作系统命令注入是一个中等漏洞,NVD 计数为833。针对 CWE-78 漏洞的攻击严重程度不高,平均 CVSS 得分为8.71,总体安全得分为19.55。

2022年 CWE TOP25 列表中缺陷包括:

来源:cwe.mitre.org

CWE、CVE 和 OWASP 有什么区别?

常见缺陷枚举 (CWE) 、通用漏洞披露 (CVE)和在线 Web 应用程序安全项目 (OWASP) – 所有这些都为安全研究人员提供了有关安全编码实践的指南。

CVE 是已知网络安全漏洞和公司资源潜在风险的列表。

OWASP 是一项社区计划,列出了前 10 个漏洞,列出了影响 Web 应用程序的最危险的软件弱点和漏洞。

CWE 是一个完整的缺陷数据库,它为组织技术堆栈的基于软件和硬件的安全性的弱点识别和修复提供了基线。CWE 依靠 CVE 和 OWASP 数据来识别和分类最具影响力的安全漏洞、它们的利用可能性、影响和预防措施。

CWE 和 CVSS 解决什么?

Common Weakness and Enumeration (CWE)和Common Vulnerability Scoring System (CVSS)都有助于对所有软件弱点、易于利用以及成功利用的潜在影响达成共识。

CWE 旨在通过对所有已识别的缺陷和暴露进行分类,帮助组织更好地解决漏洞。另一方面,CVSS 提供了对特定漏洞按严重、高、中或低级别分配详细严重性的评估。CVSS 还通过为缺陷提供 0.0 到 10.0 之间的数字分数来评估缺陷。

转自: https://www.freebuf.com/articles/network/341161.html