近日,在CWE(通用漏洞枚举)最新发布的2020年25种最危险软件漏洞榜单中,跨站脚本(XSS)名列榜首(下图)。
在最新公布的榜单中,跨站脚本(XSS)的威胁评分为46.82。
在描述跨站点脚本(XSS)带来的危险时,CWE写道:“攻击者可以将受害人的机器上的私人信息(例如可能包含会话信息的Cookie)从受害人的计算机传输到攻击者。攻击者代表受害者可以向网络发送恶意请求,如果受害者拥有站点的管理员权限,则将对站点构成重大威胁。”
“网络钓鱼攻击可以用来模仿受信任的网站,并诱使受害者输入密码,从而使攻击者可以窃取该网站上的受害者账户。最后,该脚本可以利用Web浏览器本身的漏洞,可能接管受害者的机器,有时也称为‘路过攻击’。”
相比之下, 2019年的CWE排行榜看上去更加危险。2019年排名第一的软件威胁(对内存缓冲区范围内操作的不当限制)的威胁得分为75.56。该威胁在2020年的榜单排名下滑至第五名。
在2020年榜单的编制中,CWE团队参考了美国国家标准技术研究院(NIST)国家漏洞数据库(NVD)中的常见漏洞和暴露(CVE)数据。该团队还考虑了与每个CVE相关的通用漏洞评分系统(CVSS)分数。
在今年的榜单中,第二大漏洞是“越界写入”。该漏洞的威胁评分为46.16,仅略微低于跨站脚本的得分。
“这些都不是新的风险,那么为什么组织在将代码发布到生产环境之前未能发现这些问题,或者未能保护这些漏洞免受生产环境的攻击?”K2网络安全首席技术官兼联合创始人Jayant Shukla解释道:“因为这些问题通常在测试期间很难发现,有时,仅在不同的应用程序模块交互时才成为问题,这使得它们更难检测。”
近日,在CWE(通用漏洞枚举)最新发布的2020年25种最危险软件漏洞榜单中,跨站脚本(XSS)名列榜首(下图)。
在最新公布的榜单中,跨站脚本(XSS)的威胁评分为46.82。
在描述跨站点脚本(XSS)带来的危险时,CWE写道:“攻击者可以将受害人的机器上的私人信息(例如可能包含会话信息的Cookie)从受害人的计算机传输到攻击者。攻击者代表受害者可以向网络发送恶意请求,如果受害者拥有站点的管理员权限,则将对站点构成重大威胁。”
“网络钓鱼攻击可以用来模仿受信任的网站,并诱使受害者输入密码,从而使攻击者可以窃取该网站上的受害者账户。最后,该脚本可以利用Web浏览器本身的漏洞,可能接管受害者的机器,有时也称为‘路过攻击’。”
相比之下, 2019年的CWE排行榜看上去更加危险。2019年排名第一的软件威胁(对内存缓冲区范围内操作的不当限制)的威胁得分为75.56。该威胁在2020年的榜单排名下滑至第五名。
在2020年榜单的编制中,CWE团队参考了美国国家标准技术研究院(NIST)国家漏洞数据库(NVD)中的常见漏洞和暴露(CVE)数据。该团队还考虑了与每个CVE相关的通用漏洞评分系统(CVSS)分数。
在今年的榜单中,第二大漏洞是“越界写入”。该漏洞的威胁评分为46.16,仅略微低于跨站脚本的得分。
“这些都不是新的风险,那么为什么组织在将代码发布到生产环境之前未能发现这些问题,或者未能保护这些漏洞免受生产环境的攻击?”K2网络安全首席技术官兼联合创始人Jayant Shukla解释道:“因为这些问题通常在测试期间很难发现,有时,仅在不同的应用程序模块交互时才成为问题,这使得它们更难检测。”
- [ 2022-08-08 ] 英国上市公司官网365动态│沈昌祥院士莅临英国上市公司官网365信安考察指导
- [ 2025-09-25 ] 2025网安周丨英国上市公司官网365多地联动,共筑网络安全防线
- [ 2025-09-25 ] 央地合作丨英国上市公司官网365与安徽省数据交易所、中国质量认证中心三方共建数据质量评估中心
- [ 2025-09-23 ] 中检集团英国上市公司官网365高质量数据集检验检测中心揭牌
- [ 2025-09-15 ] 英国上市公司官网365参与起草的一项团体标准正式发布
- [ 2025-09-14 ] 英国上市公司官网365动态丨上海智慧城市发展研究院院长盛雪锋一行到英国上市公司官网365参观交流
- [ 2025-09-11 ] 英国上市公司官网365助力外高桥集团“数字丝路·安全护航”主题活动圆满举办
