Некоммерческая организация MITRE и институт SANS опубликовали список из 25 наиболее распространенных ошибок в программировании, которые могут сыграть на руку хакерам.
Некоммерческая организация MITRE и институт SANS опубликовали список из 25 наиболее распространенных ошибок в программировании, которые могут сыграть на руку хакерам.
На первых трех местах — «Cross-site Scripting», «SQL Injection» и «Classic Buffer Overflow». Первые 2 — чисто интернетные ошибки, а вот переполнение буфера — классическая ошибка, до сих пор встречающаяся повсеместно.
Ниже приведен переведенный краткий список всех 25 ошибок.
| Ранг | Баллы | Название |
|---|---|---|
| [1] | 346 | ‘Cross-site Scripting’ |
| [2] | 330 | Неправильная обработка специальных элементов в SQL командах (’SQL Injection’) |
| [3] | 273 | Копирование буффера без проверки размера входных данных (’Classic Buffer Overflow’) |
| [4] | 261 | Подделка кросс сайтных запросов (CSRF) |
| [5] | 219 | Неправильный контроль доступа (Authorization) |
| [6] | 202 | Полагание на ненадежные данные при принятии Security решений |
| [7] | 197 | Неправильное ограничение имени пути к конфиденциальной папке (’Path Traversal’) |
| [8] | 194 | Незапрещенная загрузка файлов с опасными расширениями |
| [9] | 188 | Неправильная санитарная обработка специальных элементов, используемых в командах ОС (’OS Command Injection’) |
| [10] | 188 | Отсутствие криптования секретных данных |
| [11] | 176 | Использование захардкоженных конфиденциальных данных (логин и пароль, например) |
| [12] | 158 | Доступ к буферу с неправильной длинной |
| [13] | 157 | Неправильный контроль имени файла для Include/Require оператора в PHP (’PHP File Inclusion’) |
| [14] | 156 | Неправильная проверка индекса массива |
| [15] | 155 | Неправильная проверка необычной или исключительной ситуации |
| [16] | 154 | Раскрытие конфиденциальной информации в сообщение об ошибке |
| [17] | 154 | Переполнение целого (Integer Overflow) |
| [18] | 153 | Неправильное вычисление размера буфера |
| [19] | 147 | Отсутствие идентификации для критической функции |
| [20] | 146 | Скачивание кода без проверки целостности |
| [21] | 145 | Некорректные права доступа к критическим ресурсам |
| [22] | 145 | Выделение ресурсов без ограничения или тротлинг (Throttling) |
| [23] | 142 | URL перенаправление на ненадежные сайты (’Open Redirect’) |
| [24] | 141 | Использование сломанного или рискованного криптографического алгоритма |
| [25] | 138 | ‘Race Condition’ |
Источник: www.bishop-it.ru