Common Weakness Enumeration ( CWE ) 資料庫是一個社群開發的專案，它提供組織技術堆疊的軟體和硬體中的常見漏洞目錄。該資料庫包括對常見弱點的詳細描述並指導安全編碼標準。

什麼是常見缺陷列舉?

通用缺陷列舉(CWE)資料庫列出了任何硬體或軟體產品的網路弱點。CWE識別並分類漏洞型別、與漏洞相關的安全問題，以及為解決檢測到的安全漏洞而可能採取的預防措施。

在Mitre的支援下，CWE 是一個社群開發的目錄，用於實施資料驅動的網路安全方法。安全團隊通常依賴 CWE 的軟體缺陷目錄作為安全編碼實踐和設計漏洞管理程式的輸入。CWE還被認為是管理網路供應鏈風險的關鍵，因為它可以用來識別和解決企業網路的第三方元件中的潛在安全漏洞。

什麼是 CWE 漏洞?

CWE漏洞是軟體和硬體系統的缺陷，如果不加以注意，會導致安全問題。CWE資料庫對超過600類和基本級別的弱點進行分類，最嚴重的型別列在CWE Top 25。該資料庫列出了漏洞及其影響，幫助組織瞭解攻擊面，並確定加固底層系統的方法。

常見的弱點列舉示例

CWE 列表中的一些常見安全漏洞型別包括：

越界寫入 (CWE-787)

當應用程式在預期輸入緩衝區的邊界之外寫入資料時，就會出現這種安全漏洞。當應用程式執行指標運算或更改索引以引用記憶體緩衝區之外的位置時，也可能導致該弱點。這種記憶體損壞通常會導致意外的程式碼執行、崩潰或資料損壞。

越界寫入漏洞極有可能被利用，國家漏洞資料庫 (NVD)計數為3033。攻擊的嚴重性也很高，平均通用漏洞評分系統 (CVSS) 得分為8.22，總體安全得分為65.93。

越界讀取 (CWE-125)

當應用程式可以讀取預期輸出緩衝區邊界之外的資料時，就會出現 CWE-125 漏洞。攻擊者可以從越界記憶體中讀取敏感資訊，以獲取可用於繞過身份驗證機制並利用其他弱點進行進一步攻擊的秘密值。

該漏洞還可能導致記憶體緩衝區溢位、分段錯誤，甚至系統崩潰。當應用程式讀取可變資料值時，可能會發生這種情況，假設存在一個程式來終止所述緩衝儲存器之外的讀取操作。

CWE-125 弱點是一箇中等嚴重的攻擊向量，CVSS 得分為6.94，NVD 計數為1448，總體安全得分為24.9。

輸入中和不當 (CWE-79)

也稱為跨站點指令碼 (XSS)，當攻擊者可以將惡意程式碼注入網站時，就會出現此漏洞，通常使用瀏覽器端指令碼。該弱點在動態生成的網頁中接受不受信任的資料而沒有適當中和的應用程式中很常見。在這種情況下，惡意指令碼/資料用於執行不利的操作，例如在 Web 伺服器的安全上下文中傳輸敏感資料或傳送異常 HTTP 請求。

CWE-79 漏洞被利用的可能性很高，NVD 計數為3564。這種攻擊的嚴重性是中等的，該漏洞的平均 CVSS 得分為5.8，總體 CWE 安全得分為46.84。

輸入驗證不當 (CWE-20)

CWE-20 弱點出現在接受輸入資料但未正確驗證所提供輸入是否具有安全處理所需屬性的應用程式中。當應用程式接收到更改的控制流路徑時，攻擊者可以製作訪問有限資源或遠端程式碼執行的意外輸入。輸入驗證弱點通常是由於在 SDLC 中實施架構概念或採用開發最佳實踐方面存在缺陷。

軟體中不正確的輸入驗證缺陷的嚴重性是輕微的，平均 CVSS 得分為7.25。可利用性的可能性中等，NVD 計數為1120，總體安全分數為20.47。

特殊元素中和不當 (CWE-78)

CWE-78 漏洞發生在使用上游元件提供的外部輸入構建部分或整個作業系統命令的軟體應用程式中。此漏洞也稱為OS 命令注入，當應用程式未消除輸入中存在的元素時，該漏洞處於活動狀態，這些元素在傳送到預期的下游元件時可能會修改命令。

CWE 78 漏洞允許攻擊者直接在作業系統上執行命令，而無需直接訪問平臺。由於攻擊者可以濫用特權程式來獲取許可權並指定預設情況下無法訪問的命令，因此作業系統命令注入通常會導致許可權管理不當。

作業系統命令注入是一箇中等漏洞，NVD 計數為833。針對 CWE-78 漏洞的攻擊嚴重程度不高，平均 CVSS 得分為8.71，總體安全得分為19.55。

2022年 CWE TOP25 列表中缺陷包括：

來源：cwe.mitre.org

CWE、CVE 和 OWASP 有什麼區別?

常見缺陷列舉 (CWE) 、通用漏洞披露 (CVE)和線上 Web 應用程式安全專案 (OWASP) – 所有這些都為安全研究人員提供了有關安全編碼實踐的指南。

CVE 是已知網路安全漏洞和公司資源潛在風險的列表。

OWASP 是一項社群計劃，列出了前 10 個漏洞，列出了影響 Web 應用程式的最危險的軟體弱點和漏洞。

CWE 是一個完整的缺陷資料庫，它為組織技術堆疊的基於軟體和硬體的安全性的弱點識別和修復提供了基線。CWE 依靠 CVE 和 OWASP 資料來識別和分類最具影響力的安全漏洞、它們的利用可能性、影響和預防措施。

CWE 和 CVSS 解決什麼?

Common Weakness and Enumeration (CWE)和Common Vulnerability Scoring System (CVSS)都有助於對所有軟體弱點、易於利用以及成功利用的潛在影響達成共識。

CWE 旨在透過對所有已識別的缺陷和暴露進行分類，幫助組織更好地解決漏洞。另一方面，CVSS 提供了對特定漏洞按嚴重、高、中或低階別分配詳細嚴重性的評估。CVSS 還透過為缺陷提供 0.0 到 10.0 之間的數字分數來評估缺陷。

什麼是常見缺陷列舉 (CWE)