ProSec GmbH

0261 45093090

  • Penetration Testing
    • Penetration Testing
    • Pentest as a Service
    • Web Application Pentest
    • Schwachstellen Analyse
    • Red Teaming
  • Consulting
    • IT Security Consulting
    • Datenschutz
      • DSGVO
    • Trainings
      • User Awareness
      • Junior Penetration Tester
      • Penetration Tester Web
      • Penetration Tester Network
  • Wiki
  • Jobs
  • Kontakt
    • About

CWE – Common Weakness Enumeration

Die Common Weakness Enumeration, kurz CWE, aus dem Englischen übersetzt „Aufzählung allgemeiner Schwächen“, ist ein System, das zum Kategorisieren für Hard- und Softwareschwächen oder Schwachstellen entwickelt wurde. Die von der Community entworfene Liste wird von der MITRE Corporation seit dem Jahre 2006 betrieben. Sie dient als gemeinsame Sprache und Grundlage für die Identifizierung von sicherheitskritischen Schwachstellen.

common weakness enumeration

Die Liste kommt unter anderem bei Schwachstellen-Analysen oder Penetration-Tests zum Einsatz. Des Weiteren hilft diese Liste bei der Eindämmung und Abgrenzung, sowie Prävention von möglichen Schwächen in Soft- und Hardware. Mitglieder der CWE-Community sind unter anderem Größen wie Apple, Oracle oder Microsoft. Finanziert wird das Projekt von der U.S. Department of Homeland Security (DHS) und der Cybersecurity Infrastructure Security Agency (CISA).

Kennen Sie die Schwachstellen Ihrer IT?

Lassen Sie jetzt eine IT Schwachstellenanalyse durchführen!

Mehr zur IT Schwachstellenanalyse

Ziele der CWE

Das Hauptziel der CWE ist es, CVEs (Common Vulnerabilities and Exposures) nach Möglichkeit zu verhindern. Um dies zu erreichen, enthält eine CWE nicht nur eine detaillierte Beschreibung von Schwachstellen, sondern hält auch Beispiele und Lösungsansätze zum Beheben dieser Schwachstellen bereit. So kann die Liste für Security Researcher und Programmierer gleichermaßen hilfreich sein und einen praktischen Nutzen für den jeweiligen Anwendungsfall bieten.

Icon netzwerk
Bild einiger Pfeile, die in einer Zielscheibe stecken

Durch die ausführliche Beschreibung der Schwachstellen ist es auch möglich, diese auf ähnliche Probleme bei anderen Programmen zu verwenden.
Darüber hinaus findet die CWE Liste ihren Einsatz auch in diversen Schwachstellenscannern oder bei der Erstellung von neuen Programmen. Programmierer können sich durch die CWE Liste über bereits bekannte Schwachstellen und Fehler anderer Programme informieren und diese Informationen bei der Entwicklung eines neuen Programmes berücksichtigen.

 

Die CWE ID

Eine CWE ID wird ähnlich wie eine CVE wie folgt gebildet: CWE-XXX.

Es handelt sich hierbei um eine eindeutige ID. Die CWE Liste in der Version 4.1 umfasst aktuell über 800 Schwachstellen, die in über 300 Kategorien eingeteilt wurden.

Ähnlich wie bei dem „Open Web Application Security Project“, kurz OWASP, gibt es auch hier eine Auflistung der „Top 25 Most Dangerous Software Errors“, die sogenannte „CWE

Quelle: https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html

Icon Liste

Top 25“, in der sich im Jahre 2019 beispielsweise die „CWE-798 Use of Hard-coded Credentials“ auf dem 19. Platz befunden hat. Weitere bekannte Klassen sind beispielsweise der Pufferüberlauf, das Cross-Site-Scripting, SQL Injection und OS Command Injections.

Anwendung der CWE bei der ProSec GmbH

Bei der ProSec GmbH kommen CWE und CVE im Bereich Pentesting und IT-Security Consulting zum Einsatz – und zwar hauptsächlich im Rahmen der Dokumentation, Klassifizierung von Schwachstellen und als Basis für ein einheitliches „Wording“.

CWE
Bild des stellvertretenden Geschäftsführers Immanuel Bär

Haben Sie Interesse an einer Schwachstellenanalyse?

Dann rufen Sie uns an oder nutzen Sie unser Formular. Wir freuen uns auf Ihren Kontakt.

Jetzt Anfragen

Zuletzt aktualisiert am September 29, 2020

UNSERE STANDORTE

  • Firmensitz Polch:
  • ProSec GmbH
  • Robert-Koch-Straße 1-9,
    D-56751 Polch, Germany

  • Büro Berlin:
  • ProSec GmbH
  • Friedrichstr. 123,
    D-10117 Berlin, Germany

 

  • Büro München
  • ProSec GmbH
  • Franz-Joseph-Str. 11,
    D-80801 München, Germany

TOP-SERVICES

  • Penetration Testing

  • Schwachstellen Analyse

  • Trainings

  • IT Security Consulting

  • Social Engineering

Alle Rechte vorbehalten. © 2021 ProSec GmbH | Impressum | Datenschutzerklärung | Sitemap