2010最危险的编程错误

企业动态
网络无处不在的今天,安全问题日益严峻,攻击事件层出不穷,应该说,软件系统中代码存在安全漏洞是主要的祸因之一。

 


历史上第一个bug

网络无处不在的今天,安全问题日益严峻,攻击事件层出不穷,应该说,软件系统中代码存在安全漏洞是主要的祸因之一。而这实际上反映了软件开发人员在编程的安全性方面缺乏必要的培训和常识。

由CWS(美国国土安全部下属的软件保证项目)与SANS(权威安全培训组织)联合编制的最危险的25个编程错误,是软件开发人员非常好的快速学习资料。日前,两个机构发布了2010年的编程错误列表。最新的25个最危险的编程错误如下。

1. 跨站点脚本攻击(4)

2. SQL注入(3)

3. 经典缓冲区溢出(1)

4. 跨站点请求伪造(7)

5. 不正确的访问控制(授权)

6. 在安全决策中依赖不可信的输入

7. 不正确地将路径名限制为受限路径

8. 上传危险类型的文件不受限

9. 操作系统命令中特殊因素的处理不正确(操作系统命令注入)(5)

10. 敏感信息未加密(6)

11. 使用硬编码凭据(21)

12. 以不正确的长度值访问缓冲区

13. PHP程序中Include/Require语句文件名控制不正确(PHP文件侵入)

14. 数组下标验证不正确

15. 异常条件检查不正确

16. 错误消息泄露信息(9)

17. 整数溢出

18. 缓冲区大小计算错误

19. 关键函数缺乏身份验证

20. 下载未经完整性检查的代码(15)

21. 对关键资源的错误权限分配(22)

22. 资源分配没有限制

23. URL重导向到不受信的资源

24. 使用被破解或有风险的加密算法(20)

25. 存在竞争情况(Race condition)(8)

其中后加括号有数字的,是该项错误去年的排名。显然,连续两年都入选的错误,千万不要再犯了。

另外,我们对比了去年前25名名单,列出今年落榜的错误如下,相信这些错误仍然具有相当的风险性。

2. 不正确的编码或转义输出

10. 限定缓冲区内操作失败

11. 外部控制重要状态数据

12. 外部控制文件名或路径

13. 不可信搜索路径

14. 控制代码生成错误(代码注入)

15. 错误的资源关闭或发布

17. 不正确的初始化

18. 错误计算

19. 可渗透防护

23. 随机值的错误利用

24. 滥用特权操作

25. 客户端执行服务器端安全

推荐大家下载并仔细研读完整的报告,有条件的可以组织开发团队和公司集中学习。这个报告相对枯燥了一些,如果你对哪些错误有比较直观的一看就懂的示例或者解释,欢迎在下面回复,或者与我们联系。
 

【编辑推荐】

  1. 中文Python:中文编程不是梦
  2. 网易有道及“有道难题”编程挑战赛
  3. “有道难题”编程挑战赛冠亚季军背景资料
责任编辑:张攀 来源: csdn
相关推荐

2009-04-24 09:10:37

2010-02-23 09:24:35

2011-01-05 09:43:34

2020-05-28 10:24:42

漏洞编程语言应用安全

2013-03-18 14:33:05

2021-08-17 11:55:28

Microsoft APT组织数据安全

2013-11-21 11:11:48

比特币比特币安全

2017-03-20 14:37:43

Linux命令

2018-09-13 10:00:02

Linux命令危险命令

2022-05-17 09:32:24

Bash编程Linux

2015-04-30 10:30:02

Android欧洲

2020-04-09 11:23:30

微软域名僵尸网络

2015-04-29 09:48:53

Android

2015-09-02 09:36:31

云计算阿里云数据安全

2021-06-23 06:31:05

AI人工智能

2013-01-08 10:41:01

杀毒软件国产国外

2020-03-24 10:51:30

威胁情报网络安全暗网

2023-04-28 15:22:53

2015-03-18 13:25:33

2024-06-13 16:38:34

点赞
收藏

51CTO技术栈公众号