CWE Top25漏洞榜单发布,跨站脚本跃居榜首
近日,在CWE(通用漏洞枚举)最新发布的2020年25种最危险软件漏洞榜单中,跨站脚本(XSS)名列榜首(下图)。
在最新公布的榜单中,跨站脚本(XSS)的威胁评分为46.82。
在描述跨站点脚本(XSS)带来的危险时,CWE写道:“攻击者可以将受害人的机器上的私人信息(例如可能包含会话信息的Cookie)从受害人的计算机传输到攻击者。攻击者代表受害者可以向网络发送恶意请求,如果受害者拥有站点的管理员权限,则将对站点构成重大威胁。”
“网络钓鱼攻击可以用来模仿受信任的网站,并诱使受害者输入密码,从而使攻击者可以窃取该网站上的受害者账户。最后,该脚本可以利用Web浏览器本身的漏洞,可能接管受害者的机器,有时也称为‘路过攻击’。”
相比之下, 2019年的CWE排行榜看上去更加危险。2019年排名第一的软件威胁(对内存缓冲区范围内操作的不当限制)的威胁得分为75.56。该威胁在2020年的榜单排名下滑至第五名。
在2020年榜单的编制中,CWE团队参考了美国国家标准技术研究院(NIST)国家漏洞数据库(NVD)中的常见漏洞和暴露(CVE)数据。该团队还考虑了与每个CVE相关的通用漏洞评分系统(CVSS)分数。
在今年的榜单中,第二大漏洞是“越界写入”。该漏洞的威胁评分为46.16,仅略微低于跨站脚本的得分。
“这些都不是新的风险,那么为什么组织在将代码发布到生产环境之前未能发现这些问题,或者未能保护这些漏洞免受生产环境的攻击?”K2网络安全首席技术官兼联合创始人Jayant Shukla解释道:“因为这些问题通常在测试期间很难发现,有时,仅在不同的应用程序模块交互时才成为问题,这使得它们更难检测。”
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
为什么网络安全对于智慧城市至关重要?
智慧城市代表着未来。今天,世界各个国家或地区比以往任何时候都急需开始采用新的发展方式,以增强其城市的智能能力。 例如,澳门就是一个这样的典型代表,澳门于2017年与中国科技巨头阿里巴巴集团(Alibaba group)联手。其目标是发展一个公私合作项目,旨在将特区转变为亚太地区领先的智慧城市。 澳门与阿里巴巴的伙伴关系 该合作伙伴关系利用阿里巴巴集团云计算部门阿里云的技术,其主要目标是改善澳门的IT基础设施,为大型数字化发展铺平道路,特别是在医疗保健、治理、旅游、交通和人才开发方面。 为了帮助澳门转型为智慧城市,这些计划包括开发一个用于增强公共和旅游服务的集成系统,以及建立智能交通网络等。该系统称为城市大脑,旨在使用快速发展的人工智能技术来收集和处理超级计算机中的大量数据,然后将这些信息反馈到城市各处,以提升城市治理决策水平。 该伙伴关系具体分为两个阶段。第一阶段(已于2019年8月结束)已经看到交通、旅游、旅行、医疗保健和公共治理部门采用了许多智能功能。但是,第二阶段仍要求各个政府部门先获得网络安全证书,然后才能继续进行。该阶段预计于2021年结束,并将包括与环境保护、海关和金融有关...
- 下一篇
暗网巨头Empire Market关闭数日,是DDoS还是“退场骗局”?
暗网巨头Empire Market已经持续关闭48小时,某些用户怀疑这是一场“退场骗局”的阴谋,但也有人认为这是网站遭遇DDoS的延长期。 上周末,Empire Market的部分用户在Twitter和Reddit上抱怨网站页面无法加载。 Empire Market暗网市场主要出售大量的非法物品,比如毒品、化学药品、赝品、珠宝和信用卡号等,同时提供比特币(BTC)、莱特币(LTC)和门罗(XMR)等付款方式。 Reddit一名网友Juicy Veins表示:“我是5天前下单的,但因为商家处在离线状态我也并不清楚商家是否接单了,一直未接单可能会自动取消订单。” 经验证,该网站确实无法访问,显示连接超时。 上演“退场骗局”? 目前尚不明确网站是遭遇DDoS攻击还是在策划一场“退场骗局”。尽管并不清楚网站何时恢复,但是版主还是希望管理员尽快上线网站。而对于“退场骗局”的说法,换句话说,其发生的可能性也在圈子中引发热议。 在暗网市场中谈“交易道德”?这似乎不太容易。但在暗网市场中,“退场骗局”却是屡见不鲜。网站管理员自行关闭网站或市场,没有任何通知,将平台上用户账号里的数字货币被转移到管理人员...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Mario游戏-低调大师作品
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS7,CentOS8安装Elasticsearch6.8.6
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS6,CentOS7官方镜像安装Oracle11G
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2配置默认Tomcat设置,开启更多高级功能