9 jul 2011

Los 25 errores de programación más peligrosos

Buenas a todos, al igual que ha ocurrido en los últimos años, SANS y MITRE han realizado un estudio que han plasmado en un documento en el que resumen cuales han sido los 25 errores de programación más peligrosos del año.El pasado año esta lista era encabezada por los habituales XSS, pero este año han sido desbancados por las Inyecciones SQL, desplazando a los XSS al cuarto lugar.

A continuación os dejamos el listado completo de errores:

1 – Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)2 – Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)3 – Buffer Copy without Checking Size of Input (‘Classic Buffer Overflow’)4 – Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)5 – Missing Authentication for Critical Function6 – Missing Authorization7 – Use of Hard-coded Credentials8 – Missing Encryption of Sensitive Data9 – Unrestricted Upload of File with Dangerous Type10 – Reliance on Untrusted Inputs in a Security Decision11 – Execution with Unnecessary Privileges12 – Cross-Site Request Forgery (CSRF)13 – Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)14 – Download of Code Without Integrity Check15 – Incorrect Authorization16 – Inclusion of Functionality from Untrusted Control Sphere17 – Incorrect Permission Assignment for Critical Resource18 – Use of Potentially Dangerous Function19 – Use of a Broken or Risky Cryptographic Algorithm20.- Incorrect Calculation of Buffer Size21 – Improper Restriction of Excessive Authentication Attempts22 – URL Redirection to Untrusted Site (‘Open Redirect’)23 – Uncontrolled Format String24 – Integer Overflow or Wraparound25 – Use of a One-Way Hash without a Salt

 

Podéis descargar el documento desde el siguiente enlace: http://cwe.mitre.org/top25/

 

Saludos!

No hay comentarios:

Publicar un comentario