最危险的编程错误

最新推荐文章于 2023-03-21 17:58:56 发布
最新推荐文章于 2023-03-21 17:58:56 发布
阅读量3.3k 收藏 2
点赞数
分类专栏: 安全性测试 文章标签: 编程 credentials encryption buffer authorization command
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Testing_is_believing/article/details/5362726
版权

最近CWE发布了2010年度最危险的编程错误Top 25的排名:

2010 CWE/SANS Top 25 Most Dangerous Programming Errors

http://cwe.mitre.org/top25/#CWE-362

 

其中XSS346的得分高票领先,其次是SQL注入和缓冲区溢出。

 

Rank

Score

ID

Name

[1]

346

CWE-79

Failure to Preserve Web Page Structure ('Cross-site Scripting')

[2]

330

CWE-89

Improper Sanitization of Special Elements used in an SQL Command ('SQL Injection')

[3]

273

CWE-120

Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')

[4]

261

CWE-352

Cross-Site Request Forgery (CSRF)

[5]

219

CWE-285

Improper Access Control (Authorization)

[6]

202

CWE-807

Reliance on Untrusted Inputs in a Security Decision

[7]

197

CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

[8]

194

CWE-434

Unrestricted Upload of File with Dangerous Type

[9]

188

CWE-78

Improper Sanitization of Special Elements used in an OS Command ('OS Command Injection')

[10]

188

CWE-311

Missing Encryption of Sensitive Data

[11]

176

CWE-798

Use of Hard-coded Credentials

[12]

158

CWE-805

Buffer Access with Incorrect Length Value

[13]

157

CWE-98

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP File Inclusion')

[14]

156

CWE-129

Improper Validation of Array Index

[15]

155

CWE-754

Improper Check for Unusual or Exceptional Conditions

[16]

154

CWE-209

Information Exposure Through an Error Message

[17]

154

CWE-190

Integer Overflow or Wraparound

[18]

153

CWE-131

Incorrect Calculation of Buffer Size

[19]

147

CWE-306

Missing Authentication for Critical Function

[20]

146

CWE-494

Download of Code Without Integrity Check

[21]

145

CWE-732

Incorrect Permission Assignment for Critical Resource

[22]

145

CWE-770

Allocation of Resources Without Limits or Throttling

[23]

142

CWE-601

URL Redirection to Untrusted Site ('Open Redirect')

[24]

141

CWE-327

Use of a Broken or Risky Cryptographic Algorithm

[25]

138

CWE-362

Race Condition

 

The 2010 CWE/SANS Top 25 Most Dangerous Programming Errors is a list of the most widespread and critical programming errors that can lead to serious software vulnerabilities. They are often easy to find, and easy to exploit. They are dangerous because they will frequently allow attackers to completely take over the software, steal data, or prevent the software from working at all.

 

CWE的网站上提供PDF版本下载:

http://cwe.mitre.org/top25/archive/2010/2010_cwe_sans_top25.pdf

 

 

TIB
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
软件弱点预防之 —— Filesystem path, filename, or URI manipulation - 操控文件系统路径、文件名或 URI
oscar999的专栏
10-13 2049
Filesystem path, filename, or URI manipulation ,操控文件系统路径、文件名或 URI。 该缺陷指的是当使用外部的输入来构造一个文件路径时,如果路径中包含有一些特殊字符(.. 或者 / 等),导致可以访问到期望目录之外的文件。
CWE-131: Incorrect Calculation of Buffer Size(缓冲区大小计算错误
plstudio1的博客
04-01 873
ID: 131 类型:基础 结构:简单 状态:草稿 描述 软件无法正确计算分配缓冲区时要使用的大小,这可能导致缓冲区溢出。 相关视图 与“研究层面”视图(CWE-1000)相关 与“开发层面”视图(CWE-699)相关 引入模式 阶段 说明 实现 应用平台 ...
Sonar Java默认扫描规则
yiyijianxian的博客
08-07 7876
规则如下: ".equals()" should not be used to test the values of "Atomic" classes:equals()方法不应该用在原子类型的数据上(如:AtomicInteger, AtomicLong, AtomicBoolean). "=+" should not be used instead of "+=":"=+"不可以替代 “+=”. "==" and "!=" should not be used when "equals" is ov
2021年OWASP-TOP10
qq_45751902的博客
06-23 991
2021年OWASP-TOP10
Sonar代码规则
代码还是得自己扣
08-13 3533
sonar的java代码监测规则
2010最危险编程错误
07-27
NULL 博文链接:https://reb12345reb.iteye.com/blog/757172
PHP程序员编程注意事项
10-30
PHP程序员在进行编程时,经常会遇到一些常见的错误,这些错误不仅影响程序的稳定性和效率,更严重的是,它们可能导致安全漏洞,威胁到整个系统的安全。以下是PHP程序员最易犯的四种错误及其解决方法: 1. 不转义...
PHP 危险函数解释 分析
10-30
在PHP编程中,有一些函数由于其特殊的性质,可能被恶意用户利用来执行危险操作,因此被称为“危险函数”。这些函数如果被不小心或者未经授权地使用,可能导致严重的安全问题,例如执行任意系统命令、泄露敏感信息...
PHP 危险函数全解析
12-17
在PHP编程语言中,存在一些危险的函数,这些函数如果被不当使用或者被恶意攻击者利用,可能导致严重的安全问题。以下是一些关键的危险函数及其详细描述和风险等级: 1. `phpinfo()`:这个函数会输出PHP环境的详细...
CWE学习(一)
qq_44370676的博客
04-28 4357
CWECWE-20: Improper Input Validation示例代码1示例代码2CWE-22: Improper Limitation of a Pathname to a Restricted Directory示例代码1CWE-78: Improper Neutralization of Special Elements used in an OS Command示例代码1CWE-119: Improper Restriction of Operations within the Bound
CWE-689: Permission Race Condition During Resource Copy(资源复制期间的权限竞争条件)
plstudio1的博客
05-25 494
ID: 689 类型: 复合 结构:混合 状态:草稿 描述 复制或克隆资源时,在复制完成之前,产品不会设置资源的权限或访问控制,使资源在复制过程中暴露于其他领域。 复合组件 关系 类型 ID 名称 需要 ...
maven导入依赖后项目报错怎么办
wwzzh1989的博客
03-05 422
今天遇到一个问题,maven项目中导入了几个新的依赖,然后我看依赖的jar包都下载到本地仓库了,可项目就是报错.各种clean compile 重启idea 操作半天还是不见效果. 最终在删除.idea 和 .iml 文件并重启项目后正常了. 这两个文件是idea生成的,删了以后重启项目还重新生成 ...
Essential Java resources
Dong's Dream Theater
07-28 1065
Since its introduction to the programming community as a whole in 1995, the Java platform has evolved far beyond the "applets everywhere" vision that early Java pundits and evangelists imagined a Java
cwe error
flyheavon的专栏
12-30 394
转载必须注明,否则生娃。。没那个。 XML Example: Bad Code defaultLanguage="c#" debug="true" /> ... debug等于true ASP.NET Example: Bad Code ASP.NET Example: Good Code ASP.NET Misconf
IDEA 2022.1.1 首次创建maven项目的问题及解决方法
m0_64272775的博客
01-29 1299
IDEA版本2022.1.1,这个版本和我在视频上看的旧版本创建maven的javaweb模板项目过程有点区别。用的是3.8.7的maven不要创建常规项目。。。。新建项目选下面的Maven Archetype,在Archetype中下拉列表选择org.apache.maven.archetypes:maven-archetype-webapp后点击创建,注意有两个webapp,不要选org.apache.cocoon:cocoon-22-archetype-webapp。
java代码审计手书(四)
一个码农的笔记
11-29 7836
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 外部文件访问(Android) 漏洞特征:ANDROID_EXTERNAL_FILE_ACCESS 应用经常往外部存储上写数据(可能是SD卡),这个操作可能会有多个安全问题。首先应用可以可以通过READ_EXTERNAL_STORAGE 获取SD卡上存储的文件。而且如果数据中包含用户的敏感信息的话...
DeepCode的主要发现#2:Java / Python硬编码密码
专业的开发者“讨论”
04-22 458
嘿, 语言:Java / Python 缺陷:密码/登录(类别安全性2) 诊断&#65...
Sonar安全扫描代码规则
最新发布
weixin_44188105的博客
03-21 2974
Sonar安全扫描代码规则

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值