25大软件编程错误不可赦

大多数IT安全事件(如补丁程序或网络攻击等)都与软件编程错误有关,在过去的三年中,非赢利调研机构MITRE和美国系统网络安全协会(SANSInstitute)发现了700多处常见的软件编程错误,经过安全专家的筛选,最终于周一公布了以下25大软件编程错误:

• 1. 错误的输入验证
• 2. 不正确的编码或转义输出
• 3. 维持SQL查询结构(SQL注入)错误
• 4. 维持网页结构(跨站点脚本)错误
• 5. 维持操作系统命令结果(操作系统命令注入)错误
• 6. 明文传送敏感信息
• 7. 跨站点请求伪造
• 8. 资源竞争(Race condition)
• 9. 错误信息泄露
• 10. 限定缓冲区内操作失败
• 11. 外部控制重要状态数据
• 12. 外部控制文件名或路径
• 14. 不可信搜索路径
• 15. 控制代码生成错误(代码注入)
• 15. 下载未经完整性检查的代码
• 16. 错误的资源关闭或发布
• 17. 不正确的初始化
• 18. 错误计算
• 19. 可渗透防护
• 20. 使用被破解的加密算法
• 21. 硬编码密码
• 22. 对核心资源的错误权限分配
• 23. 随机值的错误利用
• 24. 滥用特权操作
• 25. 客户端执行服务器端安全