近日，在CWE(通用漏洞枚舉)最新發(fā)布的2020年25種最危險(xiǎn)軟件漏洞榜單中，跨站腳本(XSS)名列榜首(下圖)。

在最新公布的榜單中，跨站腳本(XSS)的威脅評(píng)分為46.82。

在描述跨站點(diǎn)腳本(XSS)帶來(lái)的危險(xiǎn)時(shí)，CWE寫(xiě)道：“攻擊者可以將受害人的機(jī)器上的私人信息(例如可能包含會(huì)話信息的Cookie)從受害人的計(jì)算機(jī)傳輸?shù)焦粽摺９粽叽硎芎φ呖梢韵蚓W(wǎng)絡(luò)發(fā)送惡意請(qǐng)求，如果受害者擁有站點(diǎn)的管理員權(quán)限，則將對(duì)站點(diǎn)構(gòu)成重大威脅。”

“網(wǎng)絡(luò)釣魚(yú)攻擊可以用來(lái)模仿受信任的網(wǎng)站，并誘使受害者輸入密碼，從而使攻擊者可以竊取該網(wǎng)站上的受害者賬戶。最后，該腳本可以利用Web瀏覽器本身的漏洞，可能接管受害者的機(jī)器，有時(shí)也稱為‘路過(guò)攻擊’。”

相比之下， 2019年的CWE排行榜看上去更加危險(xiǎn)。2019年排名第一的軟件威脅(對(duì)內(nèi)存緩沖區(qū)范圍內(nèi)操作的不當(dāng)限制)的威脅得分為75.56。該威脅在2020年的榜單排名下滑至第五名。

在2020年榜單的編制中，CWE團(tuán)隊(duì)參考了美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)中的常見(jiàn)漏洞和暴露(CVE)數(shù)據(jù)。該團(tuán)隊(duì)還考慮了與每個(gè)CVE相關(guān)的通用漏洞評(píng)分系統(tǒng)(CVSS)分?jǐn)?shù)。

在今年的榜單中，第二大漏洞是“越界寫(xiě)入”。該漏洞的威脅評(píng)分為46.16，僅略微低于跨站腳本的得分。

“這些都不是新的風(fēng)險(xiǎn)，那么為什么組織在將代碼發(fā)布到生產(chǎn)環(huán)境之前未能發(fā)現(xiàn)這些問(wèn)題，或者未能保護(hù)這些漏洞免受生產(chǎn)環(huán)境的攻擊?”K2網(wǎng)絡(luò)安全首席技術(shù)官兼聯(lián)合創(chuàng)始人Jayant Shukla解釋道：“因?yàn)檫@些問(wèn)題通常在測(cè)試期間很難發(fā)現(xiàn)，有時(shí)，僅在不同的應(yīng)用程序模塊交互時(shí)才成為問(wèn)題，這使得它們更難檢測(cè)。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文