La lista è una lettura obbligata per tutti gli sviluppatori di software, sia gli sviluppatori web, impresa o altro. La sicurezza è spesso trascurato nello sviluppo di software e questo sforzo è un ricordo piacevole che ci sono persone là fuori cercando di trovare buchi e vulnerabilità del nostro software. Io sono di reinserire la "breve lista dei Top 25" qui sotto per il vostro riferimento rapido:
Il Enumerazione Debolezza comune (CWE) è un dizionario comunità sviluppato per debolezze del software. Esso fornisce un insieme unificato misurabili delle debolezze del software che sta consentendo una discussione più efficace, la descrizione, la selezione, e l'uso di strumenti di sicurezza software e servizi che possono trovare questi punti deboli in codice sorgente dei sistemi operativi e così come una migliore comprensione e gestione delle debolezze del software legati all'architettura e al design. Essi hanno rilasciato il"2011 CWE / SANS Top 25 Most Dangerous Software Errori" lista, un elenco degli errori più diffusi e critici che possono portare a gravi vulnerabilità nel software. Essi sono spesso facili da trovare, e facile da sfruttare. Sono pericolosi perché frequentemente consentire agli aggressori di prendere completamente il software, rubare dati, o evitare che il software funziona affatto.
- Neutralizzazione improprio di elementi speciali utilizzati in un comando SQL ('SQL Injection')
- Neutralizzazione improprio di elementi speciali utilizzati in un comando di sistema operativo ('command injection OS')
- Copia buffer senza Dimensione Controllo di ingresso ('Buffer Overflow Classic')
- Neutralizzazione improprio di ingresso durante la generazione di pagine Web ('cross-site scripting')
- Autenticazione mancante per la funzione critica
- Mancante di autorizzazione
- Utilizzo di hard-coded Credenziali
- Crittografia mancante di dati sensibili
- Upload illimitato di file di tipo pericoloso
- Il ricorso a ingressi non attendibili in una decisione di Sicurezza
- Esecuzione con privilegi non necessari
- Cross-Site Request Forgery (CSRF)
- Limitazione improprio di un percorso a una directory riservata ('Path Traversal')
- Scarica di codice senza Integrity Check
- Autorizzazione non corretta
- L'inclusione di funzionalità da Sfera di controllo non attendibili
- L'autorizzazione non corretta assegnazione di risorse critiche
- L'uso di funzioni potenzialmente pericolose
- L'uso di un algoritmo crittografico rotto o Risky
- Calcolo errato della dimensione del buffer
- Restrizione improprio di tentativi di autenticazione eccessivo
- URL di reindirizzamento al sito non attendibili ('Open Redirect')
- Format String incontrollata
- Integer Overflow o avvolgente
- L'uso di un hash unidirezionale senza sale
SQL Injection è il numero uno, non è una sorpresa c'è. Ci sono anche alcuni altri errori classici, come buffer overflow, cross-site scripting, uso di hash senza sale ecc Spero che almeno alcuni errori sarà impedito dopo aver letto questa lista. Quindi, non dimenticate di condividere!
Nessun commento:
Posta un commento