PenetrationstestJan Kahmen10 min Lesezeit

CWE Top 25 - (2023)

Die CWE Top 25 Most Dangerous Software Weaknesses 2023 ist eine Liste der gefährlichsten Software-Schwächen, die von der Common Weakness Enumeration (CWE) für das Jahr 2023 erstellt wurde.

Inhaltsverzeichnis

Die CWE Top 25 Most Dangerous Software Weaknesses 2023 ist eine Liste der gefährlichsten Software-Schwächen, die von der Common Weakness Enumeration (CWE) erstellt wurde. Die Liste wurde erstellt, um Entwickler und Sicherheitsforscher dabei zu unterstützen, die häufigsten und gefährlichsten Software-Schwächen zu identifizieren und zu verstehen. Die Liste wird jährlich aktualisiert, um die neuesten Trends in der Software-Sicherheit zu berücksichtigen.

Die Liste enthält Schwächen wie Injection-Angriffe, Cross-Site-Scripting, Unsichere Authentifizierung, Unsichere Speicherung von Daten, Unsichere Konfiguration und Unsichere Kommunikation. Jede Schwäche wird mit einer detaillierten Beschreibung und einer Liste von Beispielen aufgeführt, die helfen, die Schwäche zu verstehen und zu verhindern.

Die CWE Top 25 Most Dangerous Software Weaknesses ist ein wichtiges Werkzeug für Entwickler und Sicherheitsforscher, um die häufigsten und gefährlichsten Software-Schwächen zu identifizieren und zu verhindern. Es ist eine wertvolle Ressource, um sicherzustellen, dass Softwareprodukte sicher und robust sind. Die Liste wird jedes Jahr von der MITRE Corporation neu erstellt und basiert auf den CWE Top 25 von 2022.

CWE TOP 25 - 2023

  1. CWE-787 Out-of-Bounds-Write: Diese Schwachstelle tritt auf, wenn ein Programm versucht, Daten außerhalb des für sie zugewiesenen Speicherbereichs zu schreiben. Dadurch können Programmfehler oder bösartige Aktionen wie z.B. ein Buffer-overflow ausgelöst werden.

  2. CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting'): Diese Schwachstelle tritt auf, wenn unsichere Nutzerdaten in HTML-Code konvertiert werden, ohne dass alle speziellen Zeichen entfernt oder kodiert werden. Dies kann dazu führen, dass ein Angreifer die Daten für schädliche Aktionen verwendet wie z.B. Cross-site Scripting (XSS).

  3. CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection'): Diese Schwachstelle tritt auf, wenn Anwendungen eine SQL-Abfrage nicht korrekt säubern und spezielle Zeichen nicht entfernt oder kodiert werden. Dadurch können Angreifer Abfragen ausnutzen, um Datenbanken zu manipulieren oder Superuser-Rechte zu erhalten.

  4. CWE-416 Use After Free: Diese Schwachstelle tritt auf, wenn ein Programm auf einen nicht mehr vorhandenen Speicherbereich (der zuvor in einem dynamischen Speicher allokiert wurde) zugreift. Dies kann zu Programmabstürzen oder Verarbeitungsfehlern führen.

  5. CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection'): Diese Schwachstelle tritt auf, wenn eine Anwendung nicht gefilterte Benutzerdaten in einem Befehl verwendet, der vor der Ausführung auf dem Betriebssystem ausgeführt wird. Dadurch können Angreifer Systemressourcen ändern, Daten abspalten und schädliche Aktionen ausführen.

  6. CWE-20 Improper Input Validation: Diese Schwachstelle tritt auf, wenn eine Anwendung nicht validiert, welche Daten empfangen werden können. Daher können Benutzereingaben verarbeitet werden, die unerwartetes Verhalten verursachen können.

  7. CWE-125 Out-of-Bounds Read: Diese Schwachstelle tritt auf, wenn ein Programm versucht, Daten außerhalb des für sie zugewiesenen Speicherbereichs zu lesen. Dies kann zu Verarbeitungsfehlern oder anderen Programmabstürzen führen.

  8. CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal'): Diese Schwachstelle tritt auf, wenn eine Anwendung den Zugriff auf Dateien außerhalb eines eingeschränkten Verzeichnisses ermöglicht. Dies kann zu einer Preisgabe sensibler Daten führen.

  9. CWE-352 Cross-Site Request Forgery (CSRF): Diese Schwachstelle tritt auf, wenn ein Benutzer beim Besuch einer Webseite böswilligen Aktionen ausführt, ohne dass seine Absicht bekannt ist. Damit können Angreifer Benutzer dazu verleiten, unerwünschte Aktionen auf einer Webseite auszuführen.

  10. CWE-434 Unrestricted Upload of File with Dangerous Type: Diese Schwachstelle tritt auf, wenn ein Benutzer eine schädliche Datei hochladen kann, ohne dass eine restriktive Filterung vorhanden ist. Damit können Angreifer schädliche Dateien speichern oder auf dem System ausführen.

  11. CWE-862 Missing Authorization: Diese Schwachstelle tritt auf, wenn eine Anwendung nicht überprüft, welche Benutzer Zugriff auf bestimmte Daten oder Funktionen haben. Dadurch können Angreifer falsche Anmeldeinformationen oder andere Mittel verwenden, um Zugriff zu erhalten.

  12. CWE-476 NULL Pointer Dereference: Diese Schwachstelle tritt auf, wenn ein Programm versucht, auf ein Objekt zu dereferenzieren, das nicht vorhanden ist (d.h. einen NULL-Zeiger). Dieser Fehler kann zu Programmabstürzen oder einem Absturz des Betriebssystems führen.

  13. CWE-287 Improper Authentication: Diese Schwachstelle tritt auf, wenn die Authentifizierung eines Benutzers nicht korrekt funktioniert. Dies kann dazu führen, dass Benutzer in eine falsche Umgebung oder sogar als ein anderer Benutzer authentifiziert werden.

  14. CWE-190 Integer Overflow or Wraparound: Diese Schwachstelle tritt auf, wenn ein Programm versucht, einen Integer über das zulässige Spektrum hinaus zu erhöhen oder zu verringern. Somit kann die Arithmetik fehlerhaft sein, was wiederum zu anderen Programmfehlern oder bösartigen Aktionen führen kann.

  15. CWE-502 Deserialization of Untrusted Data: Diese Schwachstelle tritt auf, wenn eine Anwendung nicht validiert, welche Daten deserialisiert werden. Dadurch kann ein Angreifer schädliche Objekte deserialisieren, die vorher nicht vorhanden waren, und schädliche Aktionen ausführen.

  16. CWE-77 Improper Neutralization of Special Elements used in a Command ('Command Injection'): Diese Schwachstelle ermöglicht es einem Angreifer, Befehle in ein Programm einzufügen, das nicht dafür vorgesehen ist, Befehle zu verarbeiten. Dies kann dazu führen, dass der Angreifer die Kontrolle über das Programm übernimmt und es für seine Zwecke missbraucht.

  17. CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer: Diese Schwachstelle ermöglicht es einem Angreifer, auf Speicherbereiche zuzugreifen, die nicht für den Zugriff vorgesehen sind. Dies kann dazu führen, dass der Angreifer sensible Daten auslesen oder schädlichen Code ausführen kann.

  18. CWE-798 Use of Hard-coded Credentials: Diese Schwachstelle ermöglicht es einem Angreifer, auf ein System zuzugreifen, indem er die hart codierten Anmeldeinformationen verwendet, die in einem Programm oder einer Anwendung gespeichert sind.

  19. CWE-918 Server-Side Request Forgery (SSRF): Diese Schwachstelle ermöglicht es einem Angreifer, eine Anfrage an einen Server zu senden, die nicht von einem legitimen Benutzer stammt. Dies kann dazu führen, dass der Angreifer sensible Daten auslesen oder schädlichen Code ausführen kann.

  20. CWE-306 Missing Authentication for Critical Function: Diese Schwachstelle ermöglicht es einem Angreifer, auf eine Funktion zuzugreifen, die nicht ordnungsgemäß authentifiziert wurde. Dies kann dazu führen, dass der Angreifer sensible Daten auslesen oder schädlichen Code ausführen kann.

  21. CWE-362 Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition'): Diese Schwachstelle ermöglicht es einem Angreifer, eine Funktion auszuführen, die nicht ordnungsgemäß synchronisiert wurde. Dies kann dazu führen, dass der Angreifer die Kontrolle über das Programm übernimmt und es für seine Zwecke missbraucht.

  22. CWE-269 Improper Privilege Management: Diese Schwachstelle ermöglicht es einem Angreifer, auf eine Funktion zuzugreifen, die nicht ordnungsgemäß privilegiert wurde. Dies kann dazu führen, dass der Angreifer sensible Daten auslesen oder schädlichen Code ausführen kann.

  23. CWE-94 Improper Control of Generation of Code ('Code Injection'): Diese Schwachstelle ermöglicht es einem Angreifer, Code in ein Programm einzufügen, der nicht dafür vorgesehen ist, Code zu verarbeiten. Dies kann dazu führen, dass der Angreifer die Kontrolle über das Programm übernimmt und es für seine Zwecke missbraucht.

  24. CWE-863 Incorrect Authorization: Diese Schwachstelle tritt auf, wenn ein System nicht die richtige Autorisierung für eine Aktion oder ein Objekt bereitstellt. Dies kann dazu führen, dass Benutzer auf Ressourcen zugreifen können, die sie nicht autorisiert sind, oder dass sie auf Ressourcen zugreifen können, die sie nicht autorisiert sind.

  25. CWE-276 Incorrect Default Permissions: Diese Schwachstelle tritt auf, wenn ein System nicht die richtigen Standardberechtigungen für eine Aktion oder ein Objekt bereitstellt. Dies kann dazu führen, dass Benutzer auf Ressourcen zugreifen können, die sie nicht autorisiert sind, oder dass sie auf Ressourcen zugreifen können, die sie nicht autorisiert sind. Es kann auch dazu führen, dass Benutzer auf Ressourcen zugreifen können, die sie nicht autorisiert sind, oder dass sie auf Ressourcen zugreifen können, die sie nicht autorisiert sind.

Fazit

Die CWE Top 25 Most Dangerous Software Weaknesses 2023 ist eine wertvolle Ressource, um Entwickler und Sicherheitsforschern zu helfen, die häufigsten und gefährlichsten Software-Schwächen zu identifizieren und zu verhindern. Die Liste wird jährlich aktualisiert, um die neuesten Trends in der Software-Sicherheit zu berücksichtigen und enthält detaillierte Beschreibungen und Beispiele für jede Schwäche. Dies hilft Entwicklern, ihre Softwareprodukte sicher und robust zu machen.

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: