TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

サイバー攻撃者に悪用されやすい脆弱性タイプは? 2022年版「CWE Top 25」が公開

【概要】

1.範囲外メモリへの書き込み(CWE-787)

2.Webページ生成中の入力の不適切な中和(クロスサイトスクリプティング)(CWE-79)

3.SQLコマンドで使用される特殊要素の不適切な中和(SQLインジェクション)(CWE-89)

4.不適切な入力検証(CWE-20)

5.範囲外の読み取り(CWE-125)

6.OSコマンドで使用される特殊要素の不適切な中和(OSコマンドインジェクション)(CWE-78)

7.解放済みメモリの使用(CWE-416)

8.制限されたディレクトリへのパス名の不適切な制限(パストラバーサル)(CWE-22)

9.クロスサイトリクエストフォージェリ(CSRF)(CWE-352)

10.危険なタイプのファイルの無制限のアップロード(CWE-434)

11.NULLポインター逆参照(CWE-476)

12.信頼できないデータの逆シリアル化(CWE-502)

13.整数のオーバーフローまたはラップアラウンド(CWE-190)

14.不適切な認証(CWE-287)

15.ハードコードされたクレデンシャルの使用(CWE-798)

16.認証の欠落(CWE-862)

17.コマンドで使用される特殊要素の不適切な中和(コマンドインジェクション)(CWE-77)

18.重要な機能に対する認証の欠落(CWE-306)

19.メモリバッファの範囲内での操作の不適切な制限(CWE-119)

20.不適切なデフォルトパーミッション(CWE-276)

21.サーバサイドリクエストフォージェリ(SSRF)(CWE-918)

22.不適切な同期を伴う共有リソースを使用した同時実行(競合状態)(CWE-362)

23.制御されていないリソース消費(CWE-400)

24.XML外部エンティティ参照の不適切な制限(CWE-611)

25.コード生成の不適切な制御(コードインジェクション)(CWE-94)


【ニュース】

◆サイバー攻撃者に悪用されやすい脆弱性タイプは? 2022年版「CWE Top 25」が公開 (ITmedia, 2022/07/02 07:00)
https://www.itmedia.co.jp/enterprise/articles/2207/02/news036.html


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022