شرکت MITRE که همه ما فریمورک ATT&CK آنها را میشناسیم؛ مطابق سالهای پیش لیست 25 ضعف نرم افزاری خطرناک را منتشر کرد. این ضعفهای نرم افزاری مسئول آسیب پذیر کردن بیش از 39000 نرم افزار بودهاند که از جوئن سال 2024 تا جوئن سال 2025 کشف شدهاند.
ضعف نرم افزاری میتواند، نقص، باگ، آسیب پذیری یا خطاهایی باشد که در کد برنامه، پیاده سازی، معماری یا طراحی پیدا میشوند و هکرها میتوانند از آن برای نفوذ به سیستمهای در حال اجرای نرم افزارهای آسیب پذیر استفاده کنند. اکسپلویت موفق این موارد به بازیگر تهدید اجازه میدهد که کنترل سیستمهای قربانی را به دست بگیرند و حملات نقض سرویس انجام داده و یا به اطلاعات حساس دسترسی پیدا کنند.
لیست 25 ضعف نرم افزاری MITRE
در رتبه بندی امسال MITRE سیستم امتیاز دهی خود را بر اساس شدت و فرکانس ضعفهای نرم افزاری تعیین کرده است. آنها 39080 رکورد CVE را از 1 جوئن سال 2024 تا 1 جوئن سال 2025 را بررسی کردهاند. ضعف Cross-Site Scripting (CWE-79) کماکان در صدر جدول قرار دارد. مواردی مثل CWE-862 مربوط به نبود مکانیزم Autorization با 5 پله ارتقاء در رتبه 4 و ضعف Null Pointer Dereference با 8 پله ارتقاء در جایگاه 13ام قرار دارد.
ورودیهای جدیدی هم در این لیست داشتهایم که شامل: Classic Buffer Overflow (CWE-120) ، Stack based Buffer Overflow (CWE-121) ، Improper Access Control (CWE-284) ، Heap-based Buffer Overflow (CWE-122) ، Authorization Bypass Through User-Controlled Key (CWE-639) ، Allocation of Resource Without Limits (CWE-770) میباشند.
| Rank | ID | Name | Score | KEV CVEs | Change |
| 1 | CWE-79 | Cross-site Scripting | 60.38 | 7 | 0 |
| 2 | CWE-89 | SQL Injection | 28.72 | 4 | +1 |
| 3 | CWE-352 | Cross-Site Request Forgery (CSRF) | 13.64 | 0 | +1 |
| 4 | CWE-862 | Missing Authorization | 13.28 | 0 | +5 |
| 5 | CWE-787 | Out-of-bounds Write | 12.68 | 12 | -3 |
| 6 | CWE-22 | Path Traversal | 8.99 | 10 | -1 |
| 7 | CWE-416 | Use After Free | 8.47 | 14 | +1 |
| 8 | CWE-125 | Out-of-bounds Read | 7.88 | 3 | -2 |
| 9 | CWE-78 | OS Command Injection | 7.85 | 20 | -2 |
| 10 | CWE-94 | Code Injection | 7.57 | 7 | +1 |
| 11 | CWE-120 | Classic Buffer Overflow | 6.96 | 0 | N/A |
| 12 | CWE-434 | Unrestricted Upload of File with Dangerous Type | 6.87 | 4 | -2 |
| 13 | CWE-476 | NULL Pointer Dereference | 6.41 | 0 | +8 |
| 14 | CWE-121 | Stack-based Buffer Overflow | 5.75 | 4 | N/A |
| 15 | CWE-502 | Deserialization of Untrusted Data | 5.23 | 11 | +1 |
| 16 | CWE-122 | Heap-based Buffer Overflow | 5.21 | 6 | N/A |
| 17 | CWE-863 | Incorrect Authorization | 4.14 | 4 | +1 |
| 18 | CWE-20 | Improper Input Validation | 4.09 | 2 | -6 |
| 19 | CWE-284 | Improper Access Control | 4.07 | 1 | N/A |
| 20 | CWE-200 | Exposure of Sensitive Information | 4.01 | 1 | -3 |
| 21 | CWE-306 | Missing Authentication for Critical Function | 3.47 | 11 | +4 |
| 22 | CWE-918 | Server-Side Request Forgery (SSRF) | 3.36 | 0 | -3 |
| 23 | CWE-77 | Command Injection | 3.15 | 2 | -10 |
| 24 | CWE-639 | Authorization Bypass via User-Controlled Key | 2.62 | 0 | +6 |
| 25 | CWE-770 | Allocation of Resources w/o Limits or Throttling | 2.54 | 0 | +1 |
Cross-Site Scripting چیست؟
این آسیبپذیری زمانی رخ میدهد که یک برنامه تحت وب، ورودی کاربر (مثلاً دادههای فرمها، پارامترهای URL، کوکیها) را بدون اعتبارسنجی و پالایش مناسب در خروجی HTML وارد میکند. این مسئله به مهاجمان اجازه میدهد اسکریپتهای مخرب (معمولاً جاوااسکریپت) را در صفحات وب تزریق کنند.
انواع XSS
- Reflected XSS
- اسکریپت مخرب در درخواست HTTP (مثلاً پارامتر URL) ارسال میشود و بلافاصله در پاسخ سرور منعکس میشود.
- معمولاً کاربر را فریب میدهند تا روی یک لینک مخرب کلیک کند.
- Stored XSS
- اسکریپت مخرب در سرور ذخیره میشود (مثلاً در دیتابیس، نظرات کاربران، پروفایل).
- قربانیان هنگام مشاهده صفحه آلوده، اسکریپت را اجرا میکنند.
- DOM-based XSS
- آسیبپذیری در سمت کلاینت (جاوااسکریپت مرورگر) است.
- اسکریپت مخرب DOM صفحه را دستکاری میکند.
نتیجه گیری
بررسی آسیب پذیریهای مربوط به این ضعفهای نرم افزاری، برای توسعه دهندگان، کارشناسان امنیتی و پن تسترها میتواند بسیار مفید باشد. “همانند یک هکر فکر کنید” دیدگاه تهاجمی در امنیت سایبری به ما کمک میکند مکانیزمها، طراحی، معماری و پیاده سازی ابزارها و سامانهها را از دید یک هکر نگاه کنیم و با شناسایی نقاط آسیب پذیر، وصلههای امنیتی را به سرعت اعمال کنیم. این لیست ارزشمند به ما کمک میکند بار دیگر محیط فناوری خود را برای شناسایی نقاط ضعف مورد بازبینی و بازرسی قرار دهیم.
0 دیدگاه