onsdag 21 januari 2009

Svenska pentestare i DN

Carl-Johan Bostorp och Stefan Pettersson figurerar idag i DN under rubriken "Hackare som heltidsjobb". Två svenska pentestare som givetvis kan träffas på OWASP Swedens seminariekvällar.

Carl-Johan har för övrigt skrivit en bra artikel om webbapplikationssäkerhet och vi har haft en längre mejlkonversation om säkerhetskrav - är det beställarens eller utvecklarens ansvar att säkerhetskraven och -behoven uppfylls? En knivig fråga. Min åsikt finns i min krönika "Är säkerhet en fråga om kvalitet?".

onsdag 14 januari 2009

25 farliga programmeringsfel

SANS Institute har publicerat sin lista över de 25 farligaste programmeringsfelen. Gällande säkerhet förstås. Många gamla godingar med på listan. Jag gjorde mitt bästa för att översätta översikten till svenska.

Osäker interaktion mellan komponenter

1. Felaktig eller ingen indatavalidering
2. Problem med kodning (encoding) eller escape:ning av utdata
3. SQL-injektion
4. Cross-site scripting
5. Kommandoinjektion till operativsystem
6. Okrypterad överföring av data
7. Cross-site request forgery
8. Race conditions (time-of-check-to-time-of-use)
9. Fel- och undantagshantering som läcker information

Hantering av systemresurser och sessioner

1. Buffer overflows
2. Möjlighet att påverka tillstånd (state)
3. Möjlighet att påverka path:ar och namn vid filhantering
4. Möjlighet att påverka path:ar vid sökning och externa beroenden
5. Kodinjektion
6. Beroenden till extern kod som inte integritetskollas
7. Känslig systemdata fortfarande tillgänglig efter avslut eller deallokering
8. Möjlighet att påverka eller kringgå initialisering av data
9. Beräkningsfel såsom integer overflow

Opålitliga försvarsmekanismer


1. Felaktig accesskontroll
2. Egengjord kryptering
3. Hårdkodade lösenord
4. Beroenden till systemresurser som är tillgängliga för andra
5. Bristande slumptalsgenerering
6. Least privilege
7. Serversäkerhet beroende av klienten