安全组织:25个最危险软件编程错误

安全
一个由35个高知名度机构组成的组织对外公布了一份列有25个这种最严重编程错误的清单,这个组织的成员包括微软、赛门铁克、美国国土安全部(DHS)和国家安全局信息保障司。这个首创项目由SANS研究所和MITRE公司负责协调开展。MITRE公司是联邦政府资助的一个研发中心。

黑客利用来攻击网站和企业服务器的大多数漏洞,通常是由于常见的和众所周知的编程错误所造成的。

本周一,一个由35个高知名度机构组成的组织对外公布了一份列有25个这种最严重编程错误的清单,这个组织的成员包括微软、赛门铁克、美国国土安全部(DHS)和国家安全局信息保障司。这个首创项目由SANS研究所和MITRE公司负责协调开展。MITRE公司是联邦政府资助的一个研发中心。

Paul Kurtz是Good Harbor咨询公司的一个合伙人,他还是“美国国家网络保护战略文件”的主要作者之一。Kurtz把这份清单称作“令人难以置信的、重要的发展。 ”

在周一上午举行的新闻发布会上,Paul Kurtz表示,不幸的是,安全界居然过了这么久才拿出了一份文件,承认常见的和长期存在的编码错误。

SANS的官员在一份声明中表示,公布这份不寻常文件的目的,是让人们把注意力集中在不安全的软件开发实践和避免这些做法的途径上。公布这份清单的目的是给软件买家、开发人员和培训项目提供一个工具,他们可以用来识别那些已知的、将会构成严重安全风险的编程错误。展望未来,这份清单将在必要的时候进行调整,以增加任何新出现的或特别危险的代码错误。

这份清单分为三大类,涵盖了各种熟知的问题。其中9个安全错误属于“程序部件之间不安全互动”。9个错误被视为“危险的资源管理”错误,其余7个错误被称为“有很多漏洞的防御”问题。

这些编码错误是根据它们发生的频率和它们所构成的安全风险的严重性评出的。

25大软件编程错误

1.输入验证不当

2.不适当的编码或输出逃逸

3. SQL查询结构维护失败( SQL注入)

4.网页结构维护失败(跨站点脚本攻击)

5.操作系统指令结构维护失败(操作系统命令注入)

6.明文传输敏感信息

7.伪造跨站点请求

8.紊乱情况

9.错误信息泄露

10.内存缓冲区边界限制失败

11.外部控制临界状态数据

12.外部控制文件名或路径

13.不可信的搜索路径

14.代码生成控制失败(代码注入)

15.代码下载没有完整性检查

16.关闭或释放资源不当

17.初始化不当

18.计算不正确

19.防御出现多个漏洞

20.使用失效的或危险的加密算法

21.硬编码(Hard-coded)密码

22.为关键资源赋予不安全的操作权限

23.使用不充分的随机值

24.采用不必要的权限进行执行

25.把服务器端的安全放在客户端执行

责任编辑:王文文 来源: 网界网
相关推荐

2022-06-30 14:24:04

软件弱点漏洞

2010-02-23 09:55:30

2022-07-27 12:20:14

云原生应用安全DevOps

2020-05-28 10:24:42

漏洞编程语言应用安全

2013-03-18 14:33:05

2010-02-23 09:24:35

2018-09-13 10:00:02

Linux命令危险命令

2022-05-17 09:32:24

Bash编程Linux

2020-03-24 10:51:30

威胁情报网络安全暗网

2013-01-08 10:41:01

杀毒软件国产国外

2017-03-20 14:37:43

Linux命令

2013-04-24 09:57:08

Excel微软

2010-07-08 09:46:32

2015-06-10 16:23:33

WWDC库克苹果

2020-08-06 08:16:23

恶意软件MATA网络攻击

2021-03-23 14:50:16

编程语言Rust漏洞

2023-05-09 11:33:18

2020-04-09 11:23:30

微软域名僵尸网络

2021-10-08 08:24:40

恶意软件Android木马

2021-06-02 05:55:23

黑客组织网络攻击网络安全
点赞
收藏

51CTO技术栈公众号