SANS Institute har publicerat sin lista över de 25 farligaste programmeringsfelen. Gällande säkerhet förstås. Många gamla godingar med på listan. Jag gjorde mitt bästa för att översätta översikten till svenska.
Osäker interaktion mellan komponenter
1. Felaktig eller ingen indatavalidering
2. Problem med kodning (encoding) eller escape:ning av utdata
3. SQL-injektion
4. Cross-site scripting
5. Kommandoinjektion till operativsystem
6. Okrypterad överföring av data
7. Cross-site request forgery
8. Race conditions (time-of-check-to-time-of-use)
9. Fel- och undantagshantering som läcker information
Hantering av systemresurser och sessioner
1. Buffer overflows
2. Möjlighet att påverka tillstånd (state)
3. Möjlighet att påverka path:ar och namn vid filhantering
4. Möjlighet att påverka path:ar vid sökning och externa beroenden
5. Kodinjektion
6. Beroenden till extern kod som inte integritetskollas
7. Känslig systemdata fortfarande tillgänglig efter avslut eller deallokering
8. Möjlighet att påverka eller kringgå initialisering av data
9. Beräkningsfel såsom integer overflow
Opålitliga försvarsmekanismer
1. Felaktig accesskontroll
2. Egengjord kryptering
3. Hårdkodade lösenord
4. Beroenden till systemresurser som är tillgängliga för andra
5. Bristande slumptalsgenerering
6. Least privilege
7. Serversäkerhet beroende av klienten
Prenumerera på:
Kommentarer till inlägget (Atom)
Inga kommentarer:
Skicka en kommentar