« ALM Live Kllkodshantering med Team Foundation Server | Main | En gemensam sida fr alla Microsoft SDK:s »

2009-01-21

De 25 farligaste programmeringsfelen

Fler än 30 cyber security organisationer har mötts i Washington i början på året för att diskutera vilka fel som programmerare gör som påverkar säkerheten i produkterna de utvecklar. Och de har gemensamt kommit fram till en lista med de 25 farligaste misstagen.

(Min fantasi får verkligen utlopp när jag tänker mig in i detta möte. Hur de kommer i svarta bilar, iklädda kostym och byxdräkter i mörka färger, går igenom säkerhetskontroller och sitter runt ett avlångt bord djupt ned under en byggnad, med beväpnade vakter diskret placerade i bakgrunden och en blå, lätt självlysande, jordglob snurrande på en infälld projektorskärm.)

Det är en mycket intressant lista att gå igenom. De flesta av oss känner igen flera av dessa programmeringsmisstag, både genom egen erfarenhet eller vad vi har tidigare läst oss till.

  1. CWE-20:Improper Input Validation
  2. CWE-116:Improper Encoding or Escaping of Output
  3. CWE-89:Failure to Preserve SQL Query Structure
  4. CWE-79:Failure to Preserve Web Page Structure
  5. CWE-78:Failure to Preserve OS Command Structure
  6. CWE-319:Cleartext Transmission of Sensitive Information
  7. CWE-352:Cross-Site Request Forgery
  8. CWE-362:Race Condition
  9. CWE-209:Error Message Information Leak
  10. CWE-119:Failure to Constrain Operations within the Bounds of a Memory Buffer
  11. CWE-642:External Control of Critical State Data
  12. CWE-73:External Control of File Name or Path
  13. CWE-426:Untrusted Search Path
  14. CWE-94:Failure to Control Generation of Code
  15. CWE-494:Download of Code Without Integrity Check
  16. CWE-404:Improper Resource Shutdown or Release
  17. CWE-665:Improper Initialization
  18. CWE-682:Incorrect Calculation
  19. CWE-285:Improper Access Control
  20. CWE-327:Use of a Broken or Risky Cryptographic Algorithm
  21. CWE-259:Hard-Coded Password
  22. CWE-732:Insecure Permission Assignment for Critical Resource
  23. CWE-330:Use of Insufficiently Random Values
  24. CWE-250:Execution with Unnecessary Privileges
  25. CWE-602:Client-Side Enforcement of Server-Side Security

En djupare beskrivning över dessa fel finns på den här sidan. Detta är nästan ett måste att läsa igenom, tycker jag.

SANS Top 25 Errors

Posted at 11.07 in Coding, Visual Studio Team System |

|

Comments

Johan Kristiansson

Finns det planer för att lägga in analys av dessa fel i Team System Code Analysis? Eller fångas de rent av redan upp av analysen?

Posted by: Johan Kristiansson | 2009-06-05 at 14.00

Dag

Vissa finns nog redan, men nej, jag har inte hört att vi skall utifrån den här listan lägga till dem.
/dag

Posted by: Dag | 2009-06-07 at 15.03

The comments to this entry are closed.

Become a Fan

Search

Categories

Recent Comments

Subscribe to this blog's feed