行业新闻与博客

跨站点脚本 在 Common Weakness Enumeration（CWE）编制的 25 种最危险软件弱点中名列 2020年  榜首。 

该漏洞被 CWE 描述为“网页生成过程中输入的不适当中和”，威胁评分为 46.82。 

在描述跨站点脚本（XSS）带来的危险时，CWE  写道：“攻击者可以将受害人的机器上的私人信息（例如可能包含会话信息的 Cookie）从受害人的计算机传输到攻击者。攻击者可以向网络发送恶意请求。代表受害者的站点，如果受害者具有管理该站点的管理员权限，则对站点特别危险。 

“网络钓鱼攻击可以用来模仿受信任的网站，并诱使受害者输入密码，从而使攻击者可以破坏该网站上的受害者帐户。最后，该脚本可以利用 Web 浏览器本身的漏洞，可能接管受害者的机器，有时也称为“偷渡”。”

相比之下，  去年的 CWE 排行榜  更危险。2019年最大的软件威胁（对内存缓冲区范围的不当操作限制）收到了 75.56 的威胁评分。

CWE Top 25 是过去两个日历年中遇到的最常见和最具影响力的问题的说明性列表。 

为了创建 2020年列表，CWE 团队利用了美国国家标准技术研究院（NIST）国家漏洞数据库（NVD）中的常见漏洞和暴露（CVE）数据。该团队还考虑了与每个 CVE 相关的通用漏洞评分系统（CVSS）分数。 

今年列表中第二大弱点是“越界写入”。该漏洞的威胁评分为 46.16，仅略微低于威胁占据杆位的位置。 

“这些不是新的风险，那么为什么组织在发布代码到生产之前未能发现这些问题，或者未能保护这些漏洞免受生产中的攻击？” K2 网络安全首席技术官兼联合创始人 Jayant Shukla 对此发表了评论  。

“不幸的是，这些问题通常在测试期间很难发现，有时会出现，并且仅在不同的应用程序模块交互时才成​​为问题，这使得它们更难检测。”

本文由机器译制