Nieuws
image

MITRE publiceert Top 25 van gevaarlijkste softwarefouten

woensdag 18 september 2019, 16:24 door Redactie, 6 reacties

De MITRE Corporation, de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden te identificeren, heeft een Top 25 van gevaarlijkste softwarefouten gepubliceerd. Via deze ernstige fouten, die volgens MITRE veel voorkomen, kunnen aanvallers data stelen, software overnemen of voorkomen dat software kan functioneren.

De Top 25 is bedoeld voor ontwikkelaars, testers, gebruikers en projectmanagers van software, alsmede onderzoekers en onderwijzers om inzicht te bieden in de meestvoorkomende beveiligingsdreigingen in de software-industrie. De lijst is samengesteld op basis van een "data-driven" aanpak waarbij er naar actuele beveiligingslekken en hun impact is gekeken. Vervolgens is er op elke kwetsbaarheid een scoreformule losgelaten om de dreiging en wijdverbreidheid te bepalen.

In het overzicht komen kwetsbaarheden voor zoals buffer overflows, cross-site scripting, SQL-injection, het gebruik van hard-coded wachtwoorden, het niet goed controleren van certificaten en het niet goed valideren van gebruikersinvoer. Hieronder het volledige overzicht. Naast het CVE-systeem is MITRE ook verantwoordelijk voor de Common Weakness Enumeration (CWE) lijst waarmee kwetsbaarheden worden gecategoriseerd.

Image

Reacties (6)
18-09-2019, 16:40 door SPer
Beetje langere versie van de OWASP top 10 ;-)
18-09-2019, 16:46 door Anoniem
Door SPer: Beetje langere versie van de OWASP top 10 ;-)
De OWASP top 10 is specifiek gericht op webapplicaties, deze lijst omvat ook kwetsbaarheden in native applicaties.
19-09-2019, 07:48 door Anoniem
Dit bestond toch al lang.
19-09-2019, 09:14 door Anoniem
Veel van deze zijn gewoon,.. wel dom als dat voorkomt in je code,. dan crashed gewoon zowiezo je applicatie.
Dus dingen die nooit in productie mogen staan.
19-09-2019, 11:28 door Anoniem
Door SPer: Beetje langere versie van de OWASP top 10 ;-)
Fractievoorzitter van politiek bestuur, graag eerst inhoudelijk ze hele zaak begrijpen en goed lezen voor u een dubieuze reactie post..
OWASP staat voor open web application security project. Dat betreft dus alleen web programmering talen, verder nog niet gesproken over native applicaties.
19-09-2019, 11:49 door Anoniem
Door Anoniem: Veel van deze zijn gewoon,.. wel dom als dat voorkomt in je code,. dan crashed gewoon zowiezo je applicatie.
Dus dingen die nooit in productie mogen staan.

Nee, dat is niet helemaal juist: dit zijn juist veelal slordigheden waar veel developers zich nog altijd schuldig aan maken. Niet controleren van input, niet controleren van errorcodes, incorrect vrijgeven va geheugen, etc. De app draait prima, zolang de gebruiker maar netjes tussen de lijntjes blijft.

Diverse van deze issues komen inderdaad ook op de OWASP lijst voor.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure