Los 25 errores más comunes en programación
SANS ha publicado el TOP 25 Most Dangerous Programming Errors según más de 30 expertos internacionales en seguridad y ciberdelitos.
El impacto de los errores publicados han afectado a más de 1.5 million de sitios web durante 2008 y a los usuarios que visitaron esos sitios.
Los errores publicados corresponde a los reportados como CWE (Common Weakness Enumeration) y fueron organizadas en tres niveles con distintos errores en cada uno de ellos.
Interacción insegura entre componentes
La forma en que los datos son enviados y recibidos entre componentes, modulos, procesos, programas, threads o sistemas es inseguro.
El software no administra en forma adecuada la creación, uso, transferencia o destrucción de recursos importantes del sistema.
Las técnicas de protección son mal utilizadas, abusadas o ignoradas.
Fuente:
http://www.sans.org/top25errors/
http://cwe.mitre.org/top25/#CWE-89
El impacto de los errores publicados han afectado a más de 1.5 million de sitios web durante 2008 y a los usuarios que visitaron esos sitios.
Los errores publicados corresponde a los reportados como CWE (Common Weakness Enumeration) y fueron organizadas en tres niveles con distintos errores en cada uno de ellos.
Interacción insegura entre componentes
La forma en que los datos son enviados y recibidos entre componentes, modulos, procesos, programas, threads o sistemas es inseguro.
- CWE-20: Improper Input Validation
- CWE-116: Improper Encoding or Escaping of Output
- CWE-89: Failure to Preserve SQL Query Structure (aka 'SQL Injection')
- CWE-79: Failure to Preserve Web Page Structure (aka 'Cross-site Scripting')
- CWE-78: Failure to Preserve OS Command Structure (aka 'OS Command Injection')
- CWE-319: Cleartext Transmission of Sensitive Information
- CWE-352: Cross-Site Request Forgery (CSRF)
- CWE-362: Race Condition
- CWE-209: Error Message Information Leak
El software no administra en forma adecuada la creación, uso, transferencia o destrucción de recursos importantes del sistema.
- CWE-119: Failure to Constrain Operations within the Bounds of a Memory Buffer
- CWE-642: External Control of Critical State Data
- CWE-73: External Control of File Name or Path
- CWE-426: Untrusted Search Path
- CWE-94: Failure to Control Generation of Code (aka 'Code Injection')
- CWE-494: Download of Code Without Integrity Check
- CWE-404: Improper Resource Shutdown or Release
- CWE-665: Improper Initialization
- CWE-682: Incorrect Calculation
Las técnicas de protección son mal utilizadas, abusadas o ignoradas.
- CWE-285: Improper Access Control (Authorization)
- CWE-327: Use of a Broken or Risky Cryptographic Algorithm
- CWE-259: Hard-Coded Password
- CWE-732: Insecure Permission Assignment for Critical Resource
- CWE-330: Use of Insufficiently Random Values
- CWE-250: Execution with Unnecessary Privileges
- CWE-602: Client-Side Enforcement of Server-Side Security
Fuente:
http://www.sans.org/top25errors/
http://cwe.mitre.org/top25/#CWE-89
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!