25 самых опасных ошибок программистов

Некоммерческая организация MITRE и институт SANS опубликовали список из 25 наиболее распространенных ошибок в программировании, которые могут сыграть на руку хакерам.

Некоммерческая организация MITRE и институт SANS опубликовали список из 25 наиболее распространенных ошибок в программировании, которые могут сыграть на руку хакерам.

На первых трех местах — «Cross-site Scripting», «SQL Injection» и «Classic Buffer Overflow». Первые 2 — чисто интернетные ошибки, а вот переполнение буфера — классическая ошибка, до сих пор встречающаяся повсеместно.
Ниже приведен переведенный краткий список всех 25 ошибок.

Ранг Баллы Название
[1] 346 ‘Cross-site Scripting’
[2] 330 Неправильная обработка специальных элементов в SQL командах (’SQL Injection’)
[3] 273 Копирование буффера без проверки размера входных данных (’Classic Buffer Overflow’)
[4] 261 Подделка кросс сайтных запросов (CSRF)
[5] 219 Неправильный контроль доступа (Authorization)
[6] 202 Полагание на ненадежные данные при принятии Security решений
[7] 197 Неправильное ограничение имени пути к конфиденциальной папке (’Path Traversal’)
[8] 194 Незапрещенная загрузка файлов с опасными расширениями
[9] 188 Неправильная санитарная обработка специальных элементов, используемых в командах ОС (’OS Command Injection’)
[10] 188 Отсутствие криптования секретных данных
[11] 176 Использование захардкоженных конфиденциальных данных (логин и пароль, например)
[12] 158 Доступ к буферу с неправильной длинной
[13] 157 Неправильный контроль имени файла для Include/Require оператора в PHP (’PHP File Inclusion’)
[14] 156 Неправильная проверка индекса массива
[15] 155 Неправильная проверка необычной или исключительной ситуации
[16] 154 Раскрытие конфиденциальной информации в сообщение об ошибке
[17] 154 Переполнение целого (Integer Overflow)
[18] 153 Неправильное вычисление размера буфера
[19] 147 Отсутствие идентификации для критической функции
[20] 146 Скачивание кода без проверки целостности
[21] 145 Некорректные права доступа к критическим ресурсам
[22] 145 Выделение ресурсов без ограничения или тротлинг (Throttling)
[23] 142 URL перенаправление на ненадежные сайты (’Open Redirect’)
[24] 141 Использование сломанного или рискованного криптографического алгоритма
[25] 138 ‘Race Condition’

 

Источник: www.bishop-it.ru