安全组织评出25个最危险软件编程错误

简介:   近日,一个由35个高知名度机构组成的组织对外公布了一份列有25个这种最严重编程错误的清单,这个组织的成员包括微软、赛门铁克、美国国土安全部(DHS)和国家安全局信息保障司。这个首创项目由SANS研究所和MITRE公司负责协调开展。

  近日,一个由35个高知名度机构组成的组织对外公布了一份列有25个这种最严重编程错误的清单,这个组织的成员包括微软、赛门铁克、美国国土安全部(DHS)和国家安全局信息保障司。这个首创项目由SANS研究所和MITRE公司负责协调开展。MITRE公司是联邦政府资助的一个研发中心。

  Paul Kurtz是Good Harbor咨询公司的一个合伙人,他还是“美国国家网络保护战略文件”的主要作者之一。Kurtz把这份清单称作“令人难以置信的、重要的发展。 ”

  在周一上午举行的新闻发布会上,Paul Kurtz表示,不幸的是,安全界居然过了这么久才拿出了一份文件,承认常见的和长期存在的编码错误。

  SANS的官员在一份声明中表示,公布这份不寻常文件的目的,是让人们把注意力集中在不安全的软件开发实践和避免这些做法的途径上。公布这份清单的目的是给软件买家、开发人员和培训项目提供一个工具,他们可以用来识别那些已知的、将会构成严重安全风险的编程错误。展望未来,这份清单将在必要的时候进行调整,以增加任何新出现的或特别危险的代码错误。

  这份清单分为三大类,涵盖了各种熟知的问题。其中9个安全错误属于“程序部件之间不安全互动”。9个错误被视为“危险的资源管理”错误,其余7个错误被称为“有很多漏洞的防御”问题。

  这些编码错误是根据它们发生的频率和它们所构成的安全风险的严重性评出的。

  25大软件编程错误

  1.输入验证不当

  2.不适当的编码或输出逃逸

  3. SQL查询结构维护失败( SQL注入)

  4.网页结构维护失败(跨站点脚本攻击)

  5.操作系统指令结构维护失败(操作系统命令注入)

  6.明文传输敏感信息

  7.伪造跨站点请求

  8.紊乱情况

  9.错误信息泄露

  10.内存缓冲区边界限制失败

  11.外部控制临界状态数据

  12.外部控制文件名或路径

  13.不可信的搜索路径

  14.代码生成控制失败(代码注入)

  15.代码下载没有完整性检查

  16.关闭或释放资源不当

  17.初始化不当

  18.计算不正确

  19.防御出现多个漏洞

  20.使用失效的或危险的加密算法

  21.硬编码(Hard-coded)密码

  22.为关键资源赋予不安全的操作权限

  23.使用不充分的随机值

  24.采用不必要的权限进行执行

  25.把服务器端的安全放在客户端执行

目录
相关文章
|
运维 安全 Cloud Native
谈谈云原生安全
根据自己的理解 简单谈谈云原生安全
5580 0
谈谈云原生安全
|
小程序 开发者
微信小程序报错[ app.json 文件内容错误] app.json: app.json 未找到,一招解决
微信小程序报错[ app.json 文件内容错误] app.json: app.json 未找到,一招解决
4690 0
微信小程序报错[ app.json 文件内容错误] app.json: app.json 未找到,一招解决
Idea单步调试快速跳过后面的断点-Mute Breakpoints 快速清空所有的断点
https://zhengyz.blog.csdn.net/article/details/128072266?spm=1001.2014.3001.5502
Idea单步调试快速跳过后面的断点-Mute Breakpoints 快速清空所有的断点
|
12月前
|
存储 弹性计算 安全
阿里云第七代云服务器ECS性能、适用场景与价格参考
阿里云第七代云服务器ECS(Elastic Compute Service)作为阿里云最新一代的高性能计算产品,凭借其基于最新硬件架构和虚拟化技术的全面升级,在计算能力、存储性能、网络传输速度以及灵活性等多个方面实现了显著提升。这一代云服务器旨在为用户提供更为强大、稳定且可定制的云端基础设施服务,广泛适用于从基础的Web托管到复杂的高性能计算等多种应用场景。
|
存储 运维 安全
防盗、防泄露、防篡改,我们把 ZooKeeper 的这种认证模式玩明白了
ZooKeeper 作为应用的核心中间件在业务流程中存储着敏感数据,具有关键作用。正确且规范的使用方法对确保数据安全至关重要,否则可能会因操作不当而导致内部数据泄露,进而带来严重的安全风险。因此,在日常的 ZooKeeper 运维和使用过程中,标准化和安全的操作对于加强企业安全防护和能力建设显得格外关键。为了实现这一目标,MSE 提供了一整套标准化流程,帮助用户以更安全、更简便的方式使用 ZooKeeper,从而加速企业安全能力的提升同时最大程度地降低在变更过程中可能出现的风险。
9322 103
|
11月前
|
云安全 监控 安全
带你读《阿里云安全白皮书》(二十三)——云上安全建设最佳实践
淘宝作为全球最大规模、峰值性能要求最高的电商交易平台,基于阿里云成功通过了多年“双11”峰值考验。淘宝的安全体系涵盖了系统安全、网络安全、账号与凭据安全、云资源安全等多个方面,通过阿里云提供的多种安全产品和服务,确保了业务的稳定运行和数据的安全。淘宝的安全实践不仅为自身业务提供了坚实的保障,也为其他行业的云上安全建设提供了宝贵的经验和参考。
|
11月前
|
关系型数据库 MySQL 应用服务中间件
测评部署和管理 WordPress 最方便的面板
本文介绍了如何使用Websoft9面板轻松搭建WordPress网站,相比宝塔和1Panel,Websoft9简化了Nginx和MySQL的配置步骤,实现了快速一键部署。用户只需在应用商店中搜索WordPress,选择版本和端口后等待几分钟即可完成安装,随后通过提供的链接进入WordPress界面,轻松启动个人网站。
|
监控 安全 数据可视化
开源的网络监控工具:Sniffnet,简单而有趣!
开源的网络监控工具:Sniffnet,简单而有趣!
1520 0
|
安全 API 调度
「架构」嵌入式鸿蒙架构
**鸿蒙嵌入式架构概览** HarmonyOS,华为的分布式操作系统,应用于嵌入式设备,以微内核、跨平台能力和组件化设计著称。核心功能包括设备统一管理、分布式软总线及安全机制。特点:低时延、高安全性、易开发。优点在于灵活性、扩展性和性能,但需构建生态、增加开发者资源和争取市场认可。采用模块化设计,支持多语言开发,利用分布式通信协议和硬件抽象层,通过Huawei AppGallery推动应用生态。
725 0