最危險的程式設計錯誤
最近CWE釋出了2010年度最危險的程式設計錯誤Top 25的排名:
《2010 CWE/SANS Top 25 Most Dangerous Programming Errors》
http://cwe.mitre.org/top25/#CWE-362
其中XSS以346的得分高票領先,其次是SQL注入和緩衝區溢位。
|
Rank |
Score |
ID |
Name |
|
[1] |
346 |
Failure to Preserve Web Page Structure ('Cross-site Scripting') |
|
|
[2] |
330 |
Improper Sanitization of Special Elements used in an SQL Command ('SQL Injection') |
|
|
[3] |
273 |
Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') |
|
|
[4] |
261 |
Cross-Site Request Forgery (CSRF) |
|
|
[5] |
219 |
Improper Access Control (Authorization) |
|
|
[6] |
202 |
Reliance on Untrusted Inputs in a Security Decision |
|
|
[7] |
197 |
Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') |
|
|
[8] |
194 |
Unrestricted Upload of File with Dangerous Type |
|
|
[9] |
188 |
Improper Sanitization of Special Elements used in an OS Command ('OS Command Injection') |
|
|
[10] |
188 |
Missing Encryption of Sensitive Data |
|
|
[11] |
176 |
Use of Hard-coded Credentials |
|
|
[12] |
158 |
Buffer Access with Incorrect Length Value |
|
|
[13] |
157 |
Improper Control of Filename for Include/Require Statement in PHP Program ('PHP File Inclusion') |
|
|
[14] |
156 |
Improper Validation of Array Index |
|
|
[15] |
155 |
Improper Check for Unusual or Exceptional Conditions |
|
|
[16] |
154 |
Information Exposure Through an Error Message |
|
|
[17] |
154 |
Integer Overflow or Wraparound |
|
|
[18] |
153 |
Incorrect Calculation of Buffer Size |
|
|
[19] |
147 |
Missing Authentication for Critical Function |
|
|
[20] |
146 |
Download of Code Without Integrity Check |
|
|
[21] |
145 |
Incorrect Permission Assignment for Critical Resource |
|
|
[22] |
145 |
Allocation of Resources Without Limits or Throttling |
|
|
[23] |
142 |
URL Redirection to Untrusted Site ('Open Redirect') |
|
|
[24] |
141 |
Use of a Broken or Risky Cryptographic Algorithm |
|
|
[25] |
138 |
Race Condition |
The 2010 CWE/SANS Top 25 Most Dangerous Programming Errors is a list of the most widespread and critical programming errors that can lead to serious software vulnerabilities. They are often easy to find, and easy to exploit. They are dangerous because they will frequently allow attackers to completely take over the software, steal data, or prevent the software from working at all.
CWE的網站上提供PDF版本下載:
http://cwe.mitre.org/top25/archive/2010/2010_cwe_sans_top25.pdf
相關文章
- 淺析雲資料庫配置錯誤的危險性資料庫
- 程式設計天賦是一種危險的神話程式設計
- Linux的10個最危險命令Linux
- Linux的10個最危險的命令Linux
- 七類最危險的網路管理員
- 錯誤程式碼的設計!
- IIHS:美國最危險車型TOP 10
- 程式設計師最容易犯的幾個技術上的錯誤程式設計師
- Mac OS X 驚現最危險木馬Mac
- 在Linux執行的10個最危險的命令Linux
- Bash程式設計易犯的錯誤程式設計
- Macfee:.COM已成全球最危險頂級域名Mac
- php 的 危 險 參 數PHP
- 程式基本設計可以犯的最大錯誤
- C++程式設計易範的錯誤C++程式設計
- Linux系統中10個最危險的命令詳解Linux
- 專案管理 : 當心最危險的十類IT經理(轉)專案管理
- 程式設計師程式設計生涯中會犯的7個錯誤程式設計師
- 記一次危險的操作——誤刪/usr/bin目錄
- 2014年最危險的五大軟體漏洞
- Java程式設計師常犯的10個錯誤Java程式設計師
- 程式設計師可能常犯的 6 個錯誤程式設計師
- Python程式設計師的常見錯誤Python程式設計師
- C++程式設計易範的錯誤 (轉)C++程式設計
- Python程式設計者共性錯誤Python程式設計
- 永遠不要在 Linux 執行的 10 個最危險的命令Linux
- 永遠不要在Linux執行的10個最危險的命令Linux
- PHP程式設計師危機PHP程式設計師
- 程式設計師不應該再犯的五大程式設計錯誤程式設計師
- 危險的 target=”_blank” 與 “opener”
- 危險的 target="_blank" 與 “opener”
- 棕櫚油挺危險的
- 程式設計師性格怪癖是才華橫溢的表現還是危險分子的徵兆?程式設計師
- 程式設計師做網頁設計常犯的8個錯誤程式設計師網頁
- DLP攻略:五個危險的資料庫預設設定資料庫
- Linux 下 10 個最“危險”的命令,運維必知必防!Linux運維
- SANS研究所:7大最危險的攻擊技術介紹
- 資料洩露:政府、金融、零售網站最危險網站