2010年度25大最危险编程错误

Friday, 19 February 2010 21:36

2010 CWS（美国国土安全部下属的软件保证项目）/SANS（权威安全培训组织） 25大最危险编程错误列表列出了最广为人知的能够导致严重软件问题的编程错误。它们易于被发现并利用。它们之所以危险是因为它们能让攻击者致瘫你的软件、偷取数据、或者根本不让你的软件工作。

该列表可以帮助程序员避免常见错误。

简明列表

排名	分数	ID	名称
[1]	346	CWE-79	跨网站脚本攻击
[2]	330	CWE-89	SQL 入注
[3]	273	CWE-120	经典缓冲区溢出
[4]	261	CWE-352	跨网站请求伪造
[5]	219	CWE-285	不恰当的访问控制（授权）
[6]	202	CWE-807	在安全决策中依赖不可信赖的输入
[7]	197	CWE-22	错误地将路径名限制为受限路径
[8]	194	CWE-434	未限制危险类型的文件上传
[9]	188	CWE-78	操作系统命令中特殊元素的不正确处理 ('OS 命令入注')
[10]	188	CWE-311	敏感数据没有加密
[11]	176	CWE-798	敏感信息使用硬编码
[12]	158	CWE-805	用不正确的长度值访问缓冲区
[13]	157	CWE-98	对 PHP 程序中 Include/Require 语句不恰当的文件名控制 ('PHP 文件包含')
[14]	156	CWE-129	不恰当的数组索引验证
[15]	155	CWE-754	不恰当的异常条件检查
[16]	154	CWE-209	通过错误消息曝露信息
[17]	154	CWE-190	整数溢出
[18]	153	CWE-131	缓冲区大小计算错误
[19]	147	CWE-306	重要函数缺少身份验证
[20]	146	CWE-494	下载未经完整性检查的代码
[21]	145	CWE-732	对重要资源的不正确的权限分配
[22]	145	CWE-770	没有限制的资源分配
[23]	142	CWE-601	URL重定向到不可信的网站 (开放式重定向)
[24]	141	CWE-327	使用被破解或有风险的加密算法
[25]	138	CWE-362	竞争条件

全文参见:

< Previous		Next >