2010最危险的编程错误

2010最危险的编程错误

历史上第一个bug

网络无处不在的今天，安全问题日益严峻，攻击事件层出不穷，应该说，软件系统中代码存在安全漏洞是主要的祸因之一。而这实际上反映了软件开发人员在编程的安全性方面缺乏必要的培训和常识。

由CWS（美国国土安全部下属的软件保证项目）与SANS（权威安全培训组织）联合编制的最危险的25个编程错误，是软件开发人员非常好的快速学习资料。日前，两个机构发布了2010年的编程错误列表 。最新的25个最危险的编程错误如下。

1. 跨站点脚本攻击

2. SQL注入

3. 经典缓冲区溢出

4. 跨站点请求伪造

5. 不正确的访问控制（授权）

6. 在安全决策中依赖不可信的输入

7. 不正确地将路径名限制为受限路径

8. 上传危险类型的文件不受限

9. 操作系统命令中特殊因素的处理不正确（操作系统命令注入）

10. 敏感信息未加密

11. 使用硬编码凭据

12. 以不正确的长度值访问缓冲区

13. PHP程序中Include/Require语句文件名控制不正确（PHP文件侵入）

14. 数组下标验证不正确

15. 异常条件检查不正确

16. 错误消息泄露信息

17. 整数溢出

18. 缓冲区大小计算错误

19. 关键函数缺乏身份验证

20. 下载未经完整性检查的代码

21. 对关键资源的错误权限分配

22. 资源分配没有限制

23. URL重导向到不受信的资源

24. 使用被破解或有风险的加密算法

25. 存在竞争情况(Race condition)