Новости 37000 ошибок в год: почему разработчики оставляют пароли в коде?

NewsMaker

I'm just a script
Премиум
13,646
20
8 Ноя 2022
Новое исследование раскрывает тревожную статистику самых частых уязвимостей.


ma84c4i6stzxpep9ayq7oqhkp6r5rjg3.jpg


Согласно Для просмотра ссылки Войди или Зарегистрируйся Dogesec, на протяжении последних лет разработчики продолжают допускать ошибки в безопасности, включая хранение паролей прямо в исходном коде, что ставит под угрозу безопасность ПО. С октября 2023 по сентябрь 2024 года было выявлено 37 439 уязвимостей, из которых 35 346 получили специальные коды CWE, что охватывает 520 уникальных типов ошибок.

Самой распространенной уязвимостью стала CWE-79 – XSS (межсайтовый скриптинг), на долю которой пришлось 6006 случаев — около 17% от всех зарегистрированных.

Уязвимости типа SQL-инъекции (CWE-89) является основополагающим для веб-безопасности и регулярно упоминается в рекомендациях по разработке безопасного кода, включая OWASP.

Другие часто встречающиеся слабости включают CWE-352 (Cross-Site Request Forgery, CSRF ), CWE-787 ( Out-of-bounds Write, запись за пределы буфера), CWE-862 (Missing Authorization, отсутствие авторизации) и CWE-22 ( Path Traversal , обход ограничения пути).

Среди базовых ошибок:

  • CWE-532 (включение чувствительных данных в журналы — 247 случаев),
  • CWE-798 (использование встроенных в код паролей — 213 случаев)
  • CWE-306 (отсутствие аутентификации для критически важной функции — 208 случаев).

Данные уязвимости в основном затрагивают как крупных, так и мелких производителей, включая Cisco и IBM, а также оборудование, прошивки которого сложнее обновлять для устранения подобных проблем.

Данные показывают, что устранение уязвимостей XSS и SQL-инъекции по-прежнему остаётся важной задачей. Разработчики должны уделять внимание предотвращению хранения чувствительных данных в коде, а производители прошивок — внедрению более надежных механизмов защиты в свои продукты
 
Источник новости
www.securitylab.ru

Похожие темы