Ich habe gerade einen Blick auf die aktuelle Version, die 2024-Ausgabe, der CWE Top 25 Most Dangerous Software Weaknesses geworfen. Diese Liste basiert auf den Schwachstellentypen der Common Weakness Enumeration, wird regelmäßig aktualisiert und spiegelt die wichtigsten Schwachstellen in Software wider. Seit 2019 wird diese Liste jährlich auf der Grundlage der kürzlich beobachteten Verwundbarkeiten (dokumentiert als CVEs) und ihrer Zuordnung zu Schwachstellen (CWE-IDs), die zu diesen Verwundbarkeiten führten, aktualisiert.
Die aktuelle Version wurde Mitte Dezember 2024 veröffentlicht, und ein Blick auf die Liste zeigt die gleichen Probleme wie jedes Jahr. An erster Stelle steht CWE-79 (Cross-Site-Scripting), an zweiter Stelle CWE-787 (Out-of-Bounds-Write) und an dritter Stelle CWE-89 (SQL-Injection).
Wir können also schlussfolgern, dass
- Webanwendungen nach wie vor ein Hauptziel sind,
- viele Anwendungen immer noch auf relationalen Datenbanken mit einer SQL-Schnittstelle basieren,
- und wir immer noch viel in C/C++ geschriebenen Code haben, der Pointer verwendet.
Ok, das ist keine Überraschung, aber warum ist das der Fall? Verwenden wir immer noch so viel alten Code, oder wird immer noch neue Software entwickelt, die die gleichen Fehler macht wie immer? Haben wir nicht mittlerweile großartige Programmiersprachen und Frameworks, die es fast unmöglich machen, auf diese Standardprobleme zu stoßen? Warum verwenden Softwareentwickler:innen diese Programmiersprachen und Frameworks nicht? Wahrscheinlich ist es eine Kombination aus beidem: Viel Software basiert immer noch auf Code, der vor 20 oder mehr Jahren entwickelt wurde, und der Wechsel zu neuen Programmiersprachen und Frameworks ist nicht so einfach.
Betrachtet man die CWE-Top-25-Listen von 2009 bis zur Ausgabe 2024, so kann man feststellen, dass sich alle Schwachstellen grob in vier Kategorien einteilen lassen:
- unzureichende oder fehlende Eingabeüberprüfung und Ausgabeformatierung (CWE-20 und CWE-116)
- Wertebereichfehler und unzureichende Kontrolle über Ressourcen über ihren Lebenszyklus (CWE-118 und CWE-664)
- fehlerhafte Zugriffskontrolle (CWE-284)
- fehlerhafte Authentifizierung (CWE-287)
Sicherlich können Softwareentwickler:innen nicht alle der über 900 in der CWE-Datenbank aufgeführten Schwachstellentypen kennen lernen. Aber die gute Nachricht ist, dass sie das gar nicht müssen. Durch den Fokus auf die oben genannten Hauptkategorien und die Wahl von Programmiersprachen und Frameworks, die zur Lösung dieser Probleme beitragen, lassen sich wahrscheinlich 99 % aller Schwachstellen vermeiden, die typischerweise zu den größten Sicherheitslücken führen.
Vielleicht könnten auch einige gute KI-Tools dazu beitragen, den Legacy-Code zu bereinigen, der immer noch die Grundlage vieler moderner Anwendungen bildet.
Es muss sich auf jeden Fall etwas ändern, wenn wir nicht in den nächsten 15 Jahren immer wieder die gleichen CWE Top 25 Einträge sehen wollen.
Überblick über Akronyme im Bereich der Informationssicherheit. Diese Seite erhebt nicht den Anspruch, eine vollständige Liste zu liefern, sondern stellt nur die wichtigsten Begriffe zur Verfügung. Auch einige allgemeinel IT-, OT- und Datenschutz-Akronyme sind für die Informationssicherheit relevant, aber diese Liste enthält nur die spezifischen Akronyme für die Informationssicherheit. Die Bedeutung dieser Akronyme zu kennen...Continue reading→
Obwohl diese Website einen Fokus auf Informationssicherheits-Akronyme hat, sind auch einige allgemeine OT-Akronyme, und bestimmte IT- und Datenschutz-Akronyme, wichtig zu kennen, wenn man versucht, Informationssicherheit zu verstehen. Daher werden auf dieser Seite einige relevante OT-Akronyme aufgeführt. Bitte beachte, dass diese Liste nicht den Anspruch erhebt, eine vollständige Liste aller möglichen OT-Akronyme zu liefern, sondern nur...Continue reading→
Obwohl diese Website einen Fokus auf Informationssicherheits-Akronyme hat, sind auch einige allgemeine Datenschutz-Akronyme, und bestimmte IT- und OT-Akronyme, wichtig zu kennen, wenn man versucht, Informationssicherheit zu verstehen. Daher werden auf dieser Seite einige relevante Datenschutz-Akronyme aufgeführt. Bitte beachte, dass diese Liste nicht den Anspruch erhebt, eine vollständige Liste aller möglichen Datenschutz-Akronyme zu liefern, sondern nur...Continue reading→
Obwohl diese Website einen Fokus auf Informationssicherheits-Akronyme hat, sind auch einige allgemeine IT-Akronyme, und bestimmte OT- und Datenschutz-Akronyme, wichtig zu kennen, wenn man versucht, Informationssicherheit zu verstehen. Daher werden auf dieser Seite einige relevante IT-Akronyme aufgeführt. Bitte beachte, dass diese Liste nicht den Anspruch erhebt, eine vollständige Liste aller möglichen IT-Akronyme zu liefern, sondern nur...Continue reading→
Wenn du dir die Datenschutzerklärungen einiger Online-Dienste ansiehst, wirst du wahrscheinlich mit langen, komplizierten Texten konfrontiert, die ein normaler Mensch einfach überfliegen und nicht vollständig lesen würde. Diese Datenschutzerklärungen geben jedoch Aufschluss darüber, welche personenbezogenen Daten verwendet werden, zu welchem Zweck sie verwendet werden, wer sie verwendet und wer sonst noch Zugang zu den Daten...Continue reading→
Webseite/Blog Dieses Impressum gilt für das Angebot unter der Domain infosecbleep.net inklusiver aller Subdomains. Soziale Medien Dieses Impressum gilt zudem für meine Auftritte in den folgenden sozialen Medien: LinkedIn: linkedin.com/in/weberheiko Angaben gemäß § DDG Name: Heiko Weber Anschrift: Starweg 29, 63768 Hösbach, Deutschland E-Mail-Adresse: contact@infosecbleep.net
Du kannst auf einigen Seiten und den Blog-Posts deinen Kommentar hinterlassen. Zusätzlich kannst du mich unter der E-Mail-Adresse contact@infosecbleep.net kontaktieren. Vorzugsweise verschlüsselt und signiert per PGP. Meinen aktuellen öffentlichen PGP-Schlüssel findest du unten oder du kannst ihn über folgenden Link abspeichern. -----BEGIN PGP PUBLIC KEY BLOCK----- mDMEZ252VhYJKwYBBAHaRw8BAQdArSm3/WKtmpQCHYDqSavPbLvcEGKuR6kzEvKv YY0CPoC0J0luZm9TZWNCTEVFUCA8Y29udGFjdEBpbmZvc2VjYmxlZXAubmV0PoiZ BBMWCgBBFiEEG9ZeY4Pj1GeK+S3iMcK/PCYrLGYFAmdudlYCGwMFCQWqRFoFCwkI BwICIgIGFQoJCAsCBBYCAwECHgcCF4AACgkQMcK/PCYrLGbLxAEAgjNR1oEsqjnn VtKyXHuAd5ZGE0ubcXBvOB4WDzu1vrsA/1BQSNJezqnp4XUQqkpJxNVkvPhWrf8D 6hBz+pVY2KAJtC5JbmZvU2VjQkxFRVAgPGRhdGFwcm90ZWN0aW9uQGluZm9zZWNi bGVlcC5uZXQ+iJkEExYKAEEWIQQb1l5jg+PUZ4r5LeIxwr88JissZgUCZ252mwIb AwUJBapEWgULCQgHAgIiAgYVCgkICwIEFgIDAQIeBwIXgAAKCRAxwr88JissZoIv AP9MkYaAN4UlTsnqOgqCAJ+zKDXXvVkhrArpBe2JYn4DsAEAxkvZftPlrUc1k8Cj...Continue reading→
zuletzt aktualisiert und gültig ab: 28.12.2024 Ich betreibe diesen Blog und bin der Verantwortliche für die Verarbeitung deiner personenbezogenen Daten, die von dir oder deinem Browser beim Nutzen der Webseite bereitgestellt werden.Heiko Weber, Starweg 29, 63768 Hösbach, DeutschlandDu erreichst mich unter: dataprotection@infosecbleep.net
Willkommen bei InfoSecBLEEP, einem Blog, der sich der Erforschung der sich ständig weiterentwickelnden Welt der Informationssicherheit und des Datenschutzes widmet. Der Blog wird von Heiko Weber verfasst, einem erfahrenen Experten mit einer lebenslangen Leidenschaft für den Schutz digitaler Ökosysteme und die Förderung der Privatsphäre. Heiko wurde 1974 in Deutschland geboren und wohnt heute im Rhein-Main-Gebiet....Continue reading→
