Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief
Bug

Top 25 van de gevaarlijkste zwakten in software

27 juli 2021 - 08:353 minuten leestijdActueelSecurity & Awareness
Alfred Monterie
Alfred Monterie

De gevaarlijkste zwakheden bij software verschuiven snel met de jaren. Zwakke punten op klasseniveau (class level cwe: common weakness enumeration) die de veiligheid in gevaar brengen, komen dit jaar relatief minder voor. Hun plaats wordt meer en meer ingenomen door specifieke zwakten op basisniveau (base-level cwe).

Dit blijkt uit de lijst van de vijfentwintig meest risicovolle zwakheden (CWE Top 25) die de Amerikaanse non-profit onderzoeksorganisatie Mitre heeft samengesteld. Zwakke punten zijn gebreken, fouten, bugs of andere gebreken in implementatie, code, ontwerp of architectuur. Als ze niet worden aangepakt, kunnen systemen, netwerken of hardware kwetsbaar worden voor aanvallen.

De CWE Top 25 is een door de software-gemeenschap ontwikkelde lijst. Hierop komen de meest frequente problemen met de grootste impact uit de afgelopen twee jaar te staan. Doel is de meest voorkomende fouten in een zo vroeg mogelijk stadium van softwareontwikkeling te elimineren.

Het aandeel van softwarezwakheden op basisniveau is vergeleken met de vorige Top 25 uit 2020 toegenomen van 60 procent naar 71 procent. Dit zijn zwakten die op een abstracte manier worden beschreven, maar met voldoende details om daar specifieke methoden voor detectie en preventie uit af te leiden. Ze beschrijven problemen doorgaans in termen van twee of drie van de volgende dimensies: gedrag, eigendom, technologie, taal en middelen.

Gevaarlijke situaties

Bovenaan de lijst staat het schrijven naar het geheugen buiten de grenzen van een buffer. Gevaarlijke situaties kunnen ontstaan wanneer de software gegevens schrijft voorbij het einde of voor het begin van de beoogde buffer. Dit kan leiden tot beschadiging van gegevens, een crash of het uitvoeren van code. Deze geheugenbeschadiging (CWE-787) kent een hoge kans om misbruikt te worden.

De software kan een index wijzigen of point-berekeningen uitvoeren die verwijzen naar een geheugenlocatie die buiten de grenzen van de buffer ligt. Een volgende schrijfbewerking levert dan ongedefinieerde of onverwachte resultaten op.

Het tweede grote risico is ‘cross-site scripting’ (XSS), onjuiste neutralisatie van invoer tijdens het genereren van webpagina’s. Nummer 3 op de ranglijst is het lezen van software voorbij het einde of voor het begin van de beoogde buffer. Ook OS Command Injection en SQL Injection zijn gemakkelijk door cybercriminelen te misbruiken.

Verkeerde machtiging

Het snelst gestegen risico (CWE-276) betreft verkeerde standaard-machtigingen. Machtigingen voor geïnstalleerde bestanden worden zo ingesteld dat iedereen die bestanden kan wijzigen. Eveneens met stip genoteerd is CWE-306: de software voert geen authenticatie uit voor functionaliteit die een aantoonbare gebruikers-identiteit vereist of een aanzienlijke hoeveelheid bronnen verbruikt.

Een andere fout die stijgt op de ranglijst is dat de toepassing niet-vertrouwde gegevens deserialiseert (het opnieuw maken van een object uit een geserialiseerde vorm), zonder voldoende te verifiëren dat de resulterende gegevens geldig zijn. De meeste zwakheden op de lijst van stijgers zijn vrij lastig te ontdekken. Meer eenvoudig op te sporen zwakheden zijn gezakt, wat te verklaren valt uit meer kennis in de software community.

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Computable.nl

    Beveiliging en IT samen sterk tegen bedreigingen

    Deze paper geeft concrete strategieën en handvatten om IT en Security effectiever te integreren.

    Meer lezen

    Gebouw TU/e
    ActueelCloud & Infrastructuur

    TU/e vervangt vpn en voegt mfa toe na cyberaanval

    ActueelCloud & Infrastructuur

    Kort: Eigen ai-assistent Amsterdam, NIS2-manager Atos, DSA-check ACM en…

    AchtergrondData & AI

    ISO 42001 veelbelovend als standaard voor verantwoorde ai

    DDoS-aanval
    ActueelOverheid

    Kort: Stijging symbolische cyberaanvallen, nieuwe ceo GTIA, cijfers Wolters Kluwer

    man kijkt naar het korte nieuwsoverzicht van Computable
    ActueelCarrière

    Kort: Aanvalsdetectie ai-agents, kenniskloof cio’s, overnames Wolters Kluwer, Esprit ICT en Main

    Bord van Mediamarkt
    ActueelCloud & Infrastructuur

    Mediamarkt licht ‘onbeperkte’ cloudopslag van eigen telecommerk toe

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs