由cws(美國國土安全部下屬的軟體保證專案)與sans(權威安全培訓組織)聯合編制的最危險的25個程式設計錯誤,是軟體開發人員非常好的快速學習資料。日前,兩個機構發布了2023年的程式設計錯誤列表
。最新的25個最危險的程式設計錯誤如下。
1. 跨站點指令碼攻擊(4)
2. sql注入(3)
3. 經典緩衝區溢位(1)
4. 跨站點請求偽造(7)
5. 不正確的訪問控制(授權)
6. 在安全決策中依賴不可信的輸入
7. 不正確地將路徑名限制為受限路徑
8. 上傳危險型別的檔案不受限
9. 作業系統命令中特殊因素的處理不正確(作業系統命令注入)(5)
10. 敏感資訊未加密(6)
11. 使用硬編碼憑據(21)
12. 以不正確的長度值訪問緩衝區
13. php程式中include/require語句檔名控制不正確(php檔案侵入)
14. 陣列下標驗證不正確
15. 異常條件檢查不正確
16. 錯誤訊息洩露資訊(9)
17. 整數溢位
18. 緩衝區大小計算錯誤
19. 關鍵函式缺乏身份驗證
21. 對關鍵資源的錯誤許可權分配(22)
22. 資源分配沒有限制
23. url重導向到不受信的資源
24. 使用被破解或有風險的加密演算法(20)
25. 存在競爭情況(race condition)(8)
其中後加括號有數字的,是該項錯誤去年的排名。顯然,連續兩年都入選的錯誤,千萬不要再犯了。
另外,我們對比了去年前25名名單
,列出今年落榜的錯誤如下,相信這些錯誤仍然具有相當的風險性。
2. 不正確的編碼或轉義輸出
10. 限定緩衝區內操作失敗
11. 外部控制重要狀態資料
12. 外部控制檔名或路徑
13. 不可信搜尋路徑
14. 控制**生成錯誤(**注入)
15. 錯誤的資源關閉或發布
17. 不正確的初始化
18. 錯誤計算
19. 可滲透防護
23. 隨機值的錯誤利用
24. 濫用特權操作
25. 客戶端執行伺服器端安全
2010最危險的程式設計錯誤
歷史上第乙個bug 網路無處不在的今天,安全問題日益嚴峻,攻擊事件層出不窮,應該說,軟體系統中 存在安全漏洞是主要的禍因之一。而這實際上反映了軟體開發人員在 程式設計的安全性方面缺乏必要的培訓和常識。由cws 美國國土安全部下屬的軟體保證專案 與sans 權威安全培訓組織 聯合編制的最危險的25個程...
2010最危險的程式設計錯誤
歷史上第乙個bug 網路無處不在的今天,安全問題日益嚴峻,攻擊事件層出不窮,應該說,軟體系統中 存在安全漏洞是主要的禍因之一。而這實際上反映了軟體開發人員在程式設計的安全性方面缺乏必要的培訓和常識。由cws 美國國土安全部下屬的軟體保證專案 與sans 權威安全培訓組織 聯合編制的最危險的25個程式...
2010最危險的程式設計錯誤
歷史上第乙個bug 網路無處不在的今天,安全問題日益嚴峻,攻擊事件層出不窮,應該說,軟體系統中 存在安全漏洞是主要的禍因之一。而這實際上反映了軟體開發人員在程式設計的安全性方面缺乏必要的培訓和常識。由cws 美國國土安全部下屬的軟體保證專案 與sans 權威安全培訓組織 聯合編制的最危險的25個程式...