• slider image 58
:::
哈啦討論區

造成安全漏洞的程式設計錯誤

discuss pic 2009-01-14 12:35:31
造成安全漏洞的程式設計錯誤

由 scm 在 二, 01/13/2009 - 22:57 發表

BBC 報導,包括美國國家安全局,美國國土安全局、Microsoft, Symantec 在內的超過三十個機構昨天發表了一分文件,條列出 25 項最危險、導致系統漏洞的程式設計錯誤。馬理蘭州系統管理評估與網路安全研究所(SANS)的資料顯示,光是其中兩項錯誤就在去年導致了一百五十萬次的資安漏洞。所長 Mason Brown 表示,既然大家已有共識,接下來的工作是如何讓每個程式員了解並避免這 25 項錯誤。以往的研究大多放在彌補程式錯誤的結果(安全漏洞),而忽略了這些漏洞是如何產生的。


這 25 項錯誤的列表如下,SANS 網站上針對每一項錯誤有更詳細的資訊:


第一類: 元件之間不安全的互動

CWE-20: 未對輸入進行驗證
CWE-116: 輸出未適當地編碼或使用逸出字元
CWE-89: 未能保留 SQL query 之結構 ('SQL Injection')
CWE-79: 未能保留網頁之結構 ('Cross-site Scripting')
CWE-78: 未能保留作業系統指令之結構 ('OS Command Injection')
CWE-319: 以明文傳送敏感資料
CWE-352: 假造跨站請求(Cross-Site Request Forgery, CSRF)
CWE-362: Race Condition
CWE-209: 在錯誤訊息中洩漏重要資訊


第二類: 高風險的資源管理

CWE-119: 記憶體緩衝區溢出
CWE-642: 讓狀態資料可由外部存取
CWE-73: 讓檔名或路徑名可由外部存取
CWE-426: 讓搜尋路徑可被修改
CWE-94: 動態產生程式的機制失控 ('Code Injection')
CWE-494: 下載程式碼但不加以檢查
CWE-404: 不適當的資源關閉或釋放
CWE-665: 不適當的初始設定
CWE-682: 錯誤的數值計算


第三類: 防衛機制的漏洞

CWE-285: 不適當的權限設定
CWE-327: 使用已被破解或高風險的加密演算法
CWE-259: 寫死在程式中的密碼
CWE-732: 敏感資源的權限設定不當
CWE-330: 使用不夠亂的亂數
CWE-250: 非必要時使用過高的權限執行程式
CWE-602: 過於依賴 client 端確保 server 端的安全性



http://flolac.iis.sinica.edu.tw/lambdawan/zh/node/139
東方珍珠網是追求心靈成長,享受精采生活,探索輕鬆提昇身心靈方法的桃花源
歡迎按此前往 東方珍珠網 參觀!
第一頁 上一頁 1 下一頁 最後頁
:::

即時留言簿


計數器

今天: 472472472
昨天: 980980980
總計: 4062546406254640625464062546406254640625464062546