信息來源:安全牛
近日,在CWE(通用漏洞枚舉)最新發(fā)布的2020年25種最危險軟件漏洞榜單中,跨站腳本(XSS)名列榜首(下圖)。
在最新公布的榜單中,跨站腳本(XSS)的威脅評分為46.82。
在描述跨站點腳本(XSS)帶來的危險時,CWE寫道:“攻擊者可以將受害人的機器上的私人信息(例如可能包含會話信息的Cookie)從受害人的計算機傳輸?shù)焦粽?。攻擊者代表受害者可以向網(wǎng)絡(luò)發(fā)送惡意請求,如果受害者擁有站點的管理員權(quán)限,則將對站點構(gòu)成重大威脅?!?
“網(wǎng)絡(luò)釣魚攻擊可以用來模仿受信任的網(wǎng)站,并誘使受害者輸入密碼,從而使攻擊者可以竊取該網(wǎng)站上的受害者賬戶。最后,該腳本可以利用Web瀏覽器本身的漏洞,可能接管受害者的機器,有時也稱為‘路過攻擊’。”
相比之下, 2019年的CWE排行榜看上去更加危險。2019年排名第一的軟件威脅(對內(nèi)存緩沖區(qū)范圍內(nèi)操作的不當(dāng)限制)的威脅得分為75.56。該威脅在2020年的榜單排名下滑至第五名。
在2020年榜單的編制中,CWE團隊參考了美國國家標準技術(shù)研究院(NIST)國家漏洞數(shù)據(jù)庫(NVD)中的常見漏洞和暴露(CVE)數(shù)據(jù)。該團隊還考慮了與每個CVE相關(guān)的通用漏洞評分系統(tǒng)(CVSS)分數(shù)。
在今年的榜單中,第二大漏洞是“越界寫入”。該漏洞的威脅評分為46.16,僅略微低于跨站腳本的得分。
“這些都不是新的風(fēng)險,那么為什么組織在將代碼發(fā)布到生產(chǎn)環(huán)境之前未能發(fā)現(xiàn)這些問題,或者未能保護這些漏洞免受生產(chǎn)環(huán)境的攻擊?”K2網(wǎng)絡(luò)安全首席技術(shù)官兼聯(lián)合創(chuàng)始人Jayant Shukla解釋道:“因為這些問題通常在測試期間很難發(fā)現(xiàn),有時,僅在不同的應(yīng)用程序模塊交互時才成為問題,這使得它們更難檢測?!?