Nieuws
image

Top 25 gevaarlijkste softwarefouten

donderdag 30 juni 2011, 06:21 door Redactie, 7 reacties

SQL Injection is de gevaarlijkste fout die programmeurs kunnen maken, zo blijkt uit de Top 25 van gevaarlijkste softwarefouten van MITRE en het Sans Institute. De lijst bestaat uit veelvoorkomende fouten die tot ernstige beveiligingsproblemen in software kunnen leiden. "Ze zijn vaak eenvoudig te vinden en eenvoudig te misbruiken", aldus MITRE, een not-for-profit organisatie. De lekken zijn gevaarlijk omdat ze het overnemen van software, stelen van gegevens of het uitvoeren van een Denial of Service mogelijk maken.

Door de lijst hoopt men meer bewustzijn bij programmeurs te kweken en de beveiligingslekken te voorkomen die de "software-industrie plagen." Veel van de fouten worden namelijk tijdens het programmeren gemaakt. Aan de andere kant kunnen bedrijven de lijst gebruiken om naar veiligere software te vragen.

Sony
Het overzicht is dit jaar samengesteld aan de hand van het Common Weakness Scoring System (CWSS), dat naar de ernst van een probleem kijkt, hoe vaak het voorkomt en wat de kans op misbruik is. Het is dan ook niet verwonderlijk dat SQL Injection bovenaan staat. De techniek werd de afgelopen maanden regelmatig gebruikt om websites van Sony en andere bedrijven te kraken en databases te stelen.

Op de tweede plek staat command injection, gevolgd door de klassieke buffer overflow. Cross Site Scripting, dat vorig jaar nog op de eerste plek stond, is nu naar de vierde plaats afgezakt.

Reacties (7)
30-06-2011, 08:25 door Anoniem
Een link naar de lijst zou aardig zijn

[admin] Oops, de link is toegevoegd [/admin]
30-06-2011, 08:49 door Anoniem
En waar is dan de lijst van de 25?
Ik zie alleen de lijst van vorig jaar.
30-06-2011, 09:24 door Anoniem
Linkje naar de top 25-site zelf ontbreekt. Is hetzelfde als vorig jaar: http://cwe.mitre.org/top25/index.html
30-06-2011, 10:02 door Anoniem
Doe mij maar zo'n hyperlink naar die 25 puntjes... ik heb er wel zin in.
30-06-2011, 11:07 door SirDice
Door Redactie: SQL Injection is de gevaarlijkste fout die programmeurs kunnen maken, zo blijkt uit de Top 25 van gevaarlijkste softwarefouten van MITRE en het Sans Institute.
Een linkje naar de betreffende lijst lijkt me wel handig.

http://www.sans.org/top25-software-errors/
30-06-2011, 12:23 door Anoniem
Beetje raar inderdaad dat er niet op zijn minst een link is naar die lijst.

1. Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
2. Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
3. Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
4. Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
5. Missing Authentication for Critical Function
6. Missing Authorization
7. Use of Hard-coded Credentials
8. Missing Encryption of Sensitive Data
9. Unrestricted Upload of File with Dangerous Type
10. Reliance on Untrusted Inputs in a Security Decision
11. Execution with Unnecessary Privileges
12. Cross-Site Request Forgery (CSRF)
13. Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
14. Download of Code Without Integrity Check
15. Incorrect Authorization
16. Inclusion of Functionality from Untrusted Control Sphere
17. Incorrect Permission Assignment for Critical Resource
18. Use of Potentially Dangerous Function
19. Use of a Broken or Risky Cryptographic Algorithm
20. Incorrect Calculation of Buffer Size
21. Improper Restriction of Excessive Authentication Attempts
22. URL Redirection to Untrusted Site ('Open Redirect')
23. Uncontrolled Format String
24. Integer Overflow or Wraparound
25. Use of a One-Way Hash without a Salt

http://cwe.mitre.org/top25/
30-06-2011, 13:54 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure