Los 25 errores más comunes en programación

Posted on by

SANS ha publicado el TOP 25 Most Dangerous Programming Errors según más de 30 expertos internacionales en seguridad y ciberdelitos.

El impacto de los errores publicados han afectado a más de 1.5 million de sitios web durante 2008 y a los usuarios que visitaron esos sitios.

Los errores publicados corresponde a los reportados como CWE (Common Weakness Enumeration) y fueron organizadas en tres niveles con distintos errores en cada uno de ellos.

Interacción insegura entre componentes

La forma en que los datos son enviados y recibidos entre componentes, modulos, procesos, programas, threads o sistemas es inseguro.

  • CWE-20: Improper Input Validation
  • CWE-116: Improper Encoding or Escaping of Output
  • CWE-89: Failure to Preserve SQL Query Structure (aka ‘SQL Injection’)
  • CWE-79: Failure to Preserve Web Page Structure (aka ‘Cross-site Scripting’)
  • CWE-78: Failure to Preserve OS Command Structure (aka ‘OS Command Injection’)
  • CWE-319: Cleartext Transmission of Sensitive Information
  • CWE-352: Cross-Site Request Forgery (CSRF)
  • CWE-362: Race Condition
  • CWE-209: Error Message Information Leak

Administración riesgosa de recursos

El software no administra en forma adecuada la creación, uso, transferencia o destrucción de recursos importantes del sistema.

  • CWE-119: Failure to Constrain Operations within the Bounds of a Memory Buffer
  • CWE-642: External Control of Critical State Data
  • CWE-73: External Control of File Name or Path
  • CWE-426: Untrusted Search Path
  • CWE-94: Failure to Control Generation of Code (aka ‘Code Injection’)
  • CWE-494: Download of Code Without Integrity Check
  • CWE-404: Improper Resource Shutdown or Release
  • CWE-665: Improper Initialization
  • CWE-682: Incorrect Calculation

Defensas deficientes (“porosas”)

Las técnicas de protección son mal utilizadas, abusadas o ignoradas.

  • CWE-285: Improper Access Control (Authorization)
  • CWE-327: Use of a Broken or Risky Cryptographic Algorithm
  • CWE-259: Hard-Coded Password
  • CWE-732: Insecure Permission Assignment for Critical Resource
  • CWE-330: Use of Insufficiently Random Values
  • CWE-250: Execution with Unnecessary Privileges
  • CWE-602: Client-Side Enforcement of Server-Side Security

Redacción de Segu-info

Fuente:

http://www.sans.org/top25errors/

http://cwe.mitre.org/top25/#CWE-89

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>