近日，在CWE(通用漏洞枚舉)最新發(fā)布的2020年25種最危險(xiǎn)軟件漏洞榜單中，跨站腳本(XSS)名列榜首(下圖)。

在最新公布的榜單中，跨站腳本(XSS)的威脅評分為46.82。

在描述跨站點(diǎn)腳本(XSS)帶來的危險(xiǎn)時，CWE寫道：“攻擊者可以將受害人的機(jī)器上的私人信息(例如可能包含會話信息的Cookie)從受害人的計(jì)算機(jī)傳輸?shù)焦粽摺９粽叽硎芎φ呖梢韵蚓W(wǎng)絡(luò)發(fā)送惡意請求，如果受害者擁有站點(diǎn)的管理員權(quán)限，則將對站點(diǎn)構(gòu)成重大威脅。”

“網(wǎng)絡(luò)釣魚攻擊可以用來模仿受信任的網(wǎng)站，并誘使受害者輸入密碼，從而使攻擊者可以竊取該網(wǎng)站上的受害者賬戶。最后，該腳本可以利用Web瀏覽器本身的漏洞，可能接管受害者的機(jī)器，有時也稱為‘路過攻擊’。”

相比之下， 2019年的CWE排行榜看上去更加危險(xiǎn)。2019年排名第一的軟件威脅(對內(nèi)存緩沖區(qū)范圍內(nèi)操作的不當(dāng)限制)的威脅得分為75.56。該威脅在2020年的榜單排名下滑至第五名。

在2020年榜單的編制中，CWE團(tuán)隊(duì)參考了美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)國家漏洞數(shù)據(jù)庫(NVD)中的常見漏洞和暴露(CVE)數(shù)據(jù)。該團(tuán)隊(duì)還考慮了與每個CVE相關(guān)的通用漏洞評分系統(tǒng)(CVSS)分?jǐn)?shù)。

在今年的榜單中，第二大漏洞是“越界寫入”。該漏洞的威脅評分為46.16，僅略微低于跨站腳本的得分。

“這些都不是新的風(fēng)險(xiǎn)，那么為什么組織在將代碼發(fā)布到生產(chǎn)環(huán)境之前未能發(fā)現(xiàn)這些問題，或者未能保護(hù)這些漏洞免受生產(chǎn)環(huán)境的攻擊?”K2網(wǎng)絡(luò)安全首席技術(shù)官兼聯(lián)合創(chuàng)始人Jayant Shukla解釋道：“因?yàn)檫@些問題通常在測試期間很難發(fā)現(xiàn)，有時，僅在不同的應(yīng)用程序模塊交互時才成為問題，這使得它們更難檢測。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文