PenetrationstestJan Kahmen10 min Lesezeit

CWE Top 25 - (2023)

Die CWE Top 25 Most Dangerous Software Weaknesses 2023 ist eine Liste der gefährlichsten Software-Schwächen, die von der Common Weakness Enumeration (CWE) für das Jahr 2023 erstellt wurde.

Die CWE Top 25 Most Dangerous Software Weaknesses 2023 ist eine von der Common Weakness Enumeration (CWE) erstellte Rangliste der gefährlichsten Software-Schwachstellen. Sie unterstützt Entwickler und Sicherheitsforscher dabei, die häufigsten und kritischsten Schwachstellen zu erkennen und zu verstehen. Die Liste wird jährlich aktualisiert, um aktuelle Trends in der Software-Sicherheit abzubilden.

Zu den aufgeführten Schwachstellen zählen unter anderem Injection-Angriffe, Cross-Site Scripting, unsichere Authentifizierung, unsichere Datenspeicherung sowie fehlerhafte Konfigurationen und unsichere Kommunikation. Jede Schwachstelle wird mit einer detaillierten Beschreibung und Praxisbeispielen erläutert.

Die CWE Top 25 ist eine wertvolle Ressource, um die Sicherheit und Robustheit von Softwareprodukten zu gewährleisten. Die Liste wird jedes Jahr von der MITRE Corporation neu erstellt und baut auf den CWE Top 25 von 2022 auf.

CWE TOP 25 - 2023

  1. CWE-787 Out-of-Bounds Write: Diese Schwachstelle entsteht, wenn ein Programm Daten außerhalb des zugewiesenen Speicherbereichs schreibt. Dies kann zu Programmfehlern oder ausnutzbaren Zuständen wie einem Buffer Overflow führen.

  2. CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting'): Diese Schwachstelle entsteht, wenn Benutzereingaben ohne ausreichende Bereinigung oder Kodierung spezieller Zeichen in HTML eingebettet werden. Angreifer können dies für Cross-site Scripting (XSS) ausnutzen und schädlichen Code im Browser des Opfers ausführen.

  3. CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection'): Diese Schwachstelle entsteht, wenn Anwendungen SQL-Abfragen nicht korrekt bereinigen und Sonderzeichen unbehandelt bleiben. Angreifer können dadurch Datenbankabfragen manipulieren oder sich erweiterte Rechte verschaffen.

  4. CWE-416 Use After Free: Diese Schwachstelle entsteht, wenn ein Programm auf einen bereits freigegebenen Speicherbereich zugreift. Dies kann zu Abstürzen, Verarbeitungsfehlern oder ausnutzbaren Zuständen führen.

  5. CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection'): Diese Schwachstelle entsteht, wenn eine Anwendung ungefilterte Benutzereingaben in Betriebssystembefehle einfließen lässt. Angreifer können dadurch beliebige Befehle auf dem System ausführen und Daten exfiltrieren.

  6. CWE-20 Improper Input Validation: Diese Schwachstelle entsteht, wenn eine Anwendung eingehende Daten nicht ausreichend validiert. Ungültige oder manipulierte Eingaben können so zu unerwartetem Verhalten führen.

  7. CWE-125 Out-of-Bounds Read: Diese Schwachstelle entsteht, wenn ein Programm Daten außerhalb des zugewiesenen Speicherbereichs liest. Dies kann zu Abstürzen oder zur Offenlegung sensibler Speicherinhalte führen.

  8. CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal'): Diese Schwachstelle entsteht, wenn eine Anwendung den Zugriff auf Dateien außerhalb eines vorgesehenen Verzeichnisses nicht wirksam einschränkt. Angreifer können so auf sensible Daten zugreifen.

  9. CWE-352 Cross-Site Request Forgery (CSRF): Diese Schwachstelle ermöglicht es Angreifern, authentifizierte Benutzer dazu zu bringen, unbeabsichtigte Aktionen auf einer Webseite auszuführen, indem sie präparierte Anfragen im Kontext der bestehenden Sitzung absenden.

  10. CWE-434 Unrestricted Upload of File with Dangerous Type: Diese Schwachstelle entsteht, wenn Datei-Uploads nicht ausreichend auf Dateitypen geprüft werden. Angreifer können dadurch schädliche Dateien hochladen und auf dem Server ausführen.

  11. CWE-862 Missing Authorization: Diese Schwachstelle entsteht, wenn eine Anwendung nicht prüft, ob ein Benutzer zur Ausführung einer bestimmten Aktion berechtigt ist. Angreifer können so auf geschützte Daten oder Funktionen zugreifen.

  12. CWE-476 NULL Pointer Dereference: Diese Schwachstelle entsteht, wenn ein Programm versucht, einen NULL-Zeiger zu dereferenzieren. Dies führt in der Regel zu Programmabstürzen und kann unter bestimmten Umständen ausgenutzt werden.

  13. CWE-287 Improper Authentication: Diese Schwachstelle entsteht, wenn der Authentifizierungsmechanismus einer Anwendung fehlerhaft implementiert ist. Angreifer können sich dadurch als andere Benutzer ausgeben oder Zugang zu geschützten Bereichen erlangen.

  14. CWE-190 Integer Overflow or Wraparound: Diese Schwachstelle entsteht, wenn ein Integer-Wert die Grenzen seines zulässigen Wertebereichs über- oder unterschreitet. Das fehlerhafte Ergebnis kann zu weiteren Programmfehlern oder ausnutzbaren Zuständen führen.

  15. CWE-502 Deserialization of Untrusted Data: Diese Schwachstelle entsteht, wenn eine Anwendung Daten ohne Validierung deserialisiert. Angreifer können dadurch manipulierte Objekte einschleusen und schädlichen Code ausführen.

  16. CWE-77 Improper Neutralization of Special Elements used in a Command ('Command Injection'): Diese Schwachstelle ermöglicht es Angreifern, eigene Befehle in einen Programmaufruf einzuschleusen. Dadurch können sie die Kontrolle über das betroffene System erlangen.

  17. CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer: Diese Schwachstelle ermöglicht den Zugriff auf Speicherbereiche außerhalb der vorgesehenen Grenzen. Angreifer können dadurch sensible Daten auslesen oder schädlichen Code ausführen.

  18. CWE-798 Use of Hard-coded Credentials: Diese Schwachstelle entsteht, wenn Zugangsdaten fest im Quellcode oder in Konfigurationsdateien einer Anwendung hinterlegt sind. Angreifer können diese Credentials extrahieren und sich damit unbefugt Zugang verschaffen.

  19. CWE-918 Server-Side Request Forgery (SSRF): Diese Schwachstelle ermöglicht es Angreifern, den Server dazu zu bringen, Anfragen an interne oder externe Systeme zu senden, auf die sie normalerweise keinen Zugriff hätten. Dies kann zur Offenlegung sensibler Daten oder zur Ausführung weiterer Angriffe führen.

  20. CWE-306 Missing Authentication for Critical Function: Diese Schwachstelle entsteht, wenn kritische Funktionen einer Anwendung ohne Authentifizierung zugänglich sind. Angreifer können so auf sensible Daten zugreifen oder geschützte Aktionen ausführen.

  21. CWE-362 Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition'): Diese Schwachstelle entsteht, wenn parallele Zugriffe auf gemeinsame Ressourcen nicht korrekt synchronisiert werden. Angreifer können das Zeitfenster zwischen Prüfung und Nutzung ausnutzen, um unbeabsichtigte Zustände herbeizuführen.

  22. CWE-269 Improper Privilege Management: Diese Schwachstelle entsteht, wenn eine Anwendung Berechtigungen fehlerhaft verwaltet. Angreifer können dadurch erhöhte Rechte erlangen und auf sensible Daten oder Funktionen zugreifen.

  23. CWE-94 Improper Control of Generation of Code ('Code Injection'): Diese Schwachstelle ermöglicht es Angreifern, eigenen Code in eine Anwendung einzuschleusen und ausführen zu lassen. Dadurch können sie die vollständige Kontrolle über das betroffene System erlangen.

  24. CWE-863 Incorrect Authorization: Diese Schwachstelle entsteht, wenn ein System Autorisierungsprüfungen fehlerhaft umsetzt. Benutzer können dadurch auf Ressourcen zugreifen, für die sie keine Berechtigung haben.

  25. CWE-276 Incorrect Default Permissions: Diese Schwachstelle entsteht, wenn Standardberechtigungen zu großzügig gesetzt werden. Dies kann dazu führen, dass unbefugte Benutzer auf Ressourcen zugreifen oder sensible Daten offengelegt werden.

Fazit

Die CWE Top 25 Most Dangerous Software Weaknesses 2023 ist eine unverzichtbare Ressource für Entwickler und Sicherheitsforscher. Die jährlich aktualisierte Liste bietet detaillierte Beschreibungen und Praxisbeispiele für jede Schwachstelle und hilft so dabei, Softwareprodukte sicherer und robuster zu gestalten.

Unsere Services

Penetrationstest