2010最危险的编程错误

最新推荐文章于 2024-09-07 22:07:09 发布
最新推荐文章于 2024-09-07 22:07:09 发布
阅读量480 收藏
点赞数
分类专栏: IT 评论转帖 文章标签: 编程 2010 加密 资讯 php 破解

2010-02-19 08:14  |  21397 次阅读  |  【已有42 条评论】发表评论

关键词:新闻资讯  | 感谢liujiangCE 的 提供  |  收藏这篇资讯

历史上第一个bug

网络无处不在的今天,安全问题日益严峻,攻击事件层出不穷,应该说,软件系统中代码存在安全漏洞是主要的祸因之一。而这实际上反映了软件开发人员在 编程的安全性方面缺乏必要的培训和常识。

由CWS(美国国土安全部下属的软件保证项目)与SANS(权威安全培训组织)联合编制的最危险的25个编程错误,是软件开发人员非常好的快速学习 资料。日前,两个机构发布了2010年的编程错误列表 。 最新的25个最危险的编程错误如下。

1. 跨站点脚本攻击(4)

2. SQL注入(3)

3. 经典缓冲区溢出(1)

4. 跨站点请求伪造(7)

5. 不正确的访问控制(授权)

6. 在安全决策中依赖不可信的输入

7. 不正确地将路径名限制为受限路径

8. 上传危险类型的文件不受限

9. 操作系统命令中特殊因素的处理不正确(操作系统命令注入)(5)

10. 敏感信息未加密(6)

11. 使用硬编码凭据(21)

12. 以不正确的长度值访问缓冲区

13. PHP程序中Include/Require语句文件名控制不正确(PHP文件侵入)

14. 数组下标验证不正确

15. 异常条件检查不正确

16. 错误消息泄露信息(9)

17. 整数溢出

18. 缓冲区大小计算错误

19. 关键函数缺乏身份验证

20. 下载未经完整性检查的代码(15)

21. 对关键资源的错误权限分配(22)

22. 资源分配没有限制

23. URL重导向到不受信的资源

24. 使用被破解或有风险的加密算法(20)

25. 存在竞争情况(Race condition)(8)

其中后加括号有数字的,是该项错误去年的排名。显然,连续两年都入选的错误,千万不要再犯了。

另外,我们对比了去年前25名名单 , 列出今年落榜的错误如下,相信这些错误仍然具有相当的风险性。

2. 不正确的编码或转义输出

10. 限定缓冲区内操作失败

11. 外部控制重要状态数据

12. 外部控制文件名或路径

13. 不可信搜索路径

14. 控制代码生成错误(代码注入)

15. 错误的资源关闭或发布

17. 不正确的初始化

18. 错误计算

19. 可渗透防护

23. 随机值的错误利用

24. 滥用特权操作

25. 客户端执行服务器端安全

推荐大家下载并仔细研读完 整的报告 ,有条件的可以组织开发团队和公司集中学习。这个报告相对枯燥了一些,如果你对哪些错误有比较直观的一看就懂的示例或者解释,欢迎在下面 回复,或者与我们联系

 

转帖地址:http://news.csdn.net/a/20100219/217067.html

zjnig711
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
资源控制(资源分配),访问控制(权限控制)
wlzsddx的专栏
05-22 1694
1.  Liiu
c语言编程错误和警告,C语言编程警告处理
weixin_34098296的博客
05-18 2158
类型1: 显示:warning: implicit declaration of function 'Example()'。警告原因:在你的.c文件中调用了函数Example(),可是你并没有把声明这个函数的相应的.h文件包含进来。有可能你在一个.c文件中定义了这个函数体,但并没有在.h中进行声明。解决方法:你可以在调用这种函数的.c文件的一开始处加上:extern Example();你可以在调...
CWE TOP 25威胁
weixin_43500506的博客
03-11 3354
CWE TOP 25 Top-1 CWE-119 缓冲区错误 软件在内存缓冲区上执行操作,但是它可以读取或写入缓冲区的预定边界以外的内存位置。 某些语言允许直接访问内存地址,但是不能自动确认这些内存地址是有效的内存缓冲区。这可能导致在与其他变量、数据结构或内部程序数据相关联的内存位置上执行读/写操作。 危害如下: 机密性、完整性和可用性。攻击者可能执行任意代码、修改预定的控制流、读取敏感信息或导致系统崩溃。 如何防范: 1.编写代码时注意越界问题 2.设置检测关卡监视内存使用情况 Top-2 CWE-79
危险编程错误
软件质量优化
03-09 3427
最近CWE发布了2010年度最危险编程错误Top 25的排名:《2010 CWE/SANS Top 25 Most Dangerous Programming Errors》http://cwe.mitre.org/top25/#CWE-362 其中XSS以346的得分高票领先,其次是SQL注入和缓冲区溢出。 RankScoreID
2010危险的25个编程错误之思考
chuangxin的专栏
02-20 1007
       早上上班先扫了一眼csdn,其中新闻“2010危险编程错误”挺吸引我,于是深度之,感触颇深。一、2010危险编程错误条目       1. 跨站点脚本攻击(4)       2. SQL注入(3)       3. 经典缓冲区溢出(1)       4. 跨站点请求伪造(7)       5. 不正确的访问控制(授权)       6. 在安全决策
行业认证标准:CWE Top 25最危险编程、软件错误
Pokemogo的博客
11-26 1108
什么是CWETop 25? CWE(常见弱点枚举)列出了800多种编程错误、设计错误和体系结构错误,这些错误可能导致可利用的漏洞,而不只是前25名。CWE/SANS前25名最危险的软件错误是一个简短列表。可能导致严重软件漏洞的最广泛、最严重的错误,通常很容易发现和利用。这些是最危险的弱点,因为它们使攻击者能够完全控制软件,窃取软件数据和信息或完全阻止软件运行。 通过静态分析加强CWE合规性 Parasoft已通过CWE兼容认证,这意味着Parasoft用户可以在配置,修复和报告过程中轻松了解哪个静态.
C#编程中最常见的10个错误
Dahlin哥's 博客
03-30 2157
本教程主要讲解C#程序员最容易犯的10个常见的编程错误以及告诉他们如何避免这些问题,希望可以帮助到他们。虽然本文中讨论的大多数错误都是c#特有的,但也有一些错误在其他的类似CLR的语言上同样存在。具有相同的参考价值。
最新的25个最危险编程错误
寻找甘当科学家的女人/男人
02-22 756
网络无处不在的今天,安全问题日益严峻,攻击事件层出不穷,应该说,软件系统中代码存在安全漏洞是主要的祸因之一。而这实际上反映了软件开发人员在编程的安全性方面缺乏必要的培训和常识。由CWS(美国国土安全部下属的软件保证项目)与SANS(权威安全培训组织)联合编制的最危险的25个编程错误,是软件开发人员非常好的快速学习资料。日前,两个机构发布了2010年的编程错误列表。最新的25个最危险编程错误
Socket编程中常见错误
weixin_45905650的博客
03-05 2785
Socket编程中常见错误端口冲突(Address already in use)问题复现解决缓冲区溢出(buffer overflow detected)问题复现 端口冲突(Address already in use) 问题 在socket编程时可能会遇到这样的问题:在成功的运行了第一次之后,如果先ctrl+c/ctrl+z结束服务器端程序的话,再次启动服务器就会出现Address already in use这个错误,或者你的程序在正常关闭服务器端socket后还是有这个问题。经常会出现在bind()
浅析PHP编程中10个最常见的错误
10-25
在本篇文章中,我们将讨论PHP开发中最常见的10个错误,其中大多数都与安全相关。 错误1:foreach循环后留下悬挂指针 在使用foreach循环时,若通过引用修改数组元素,循环结束后引用的最后一个元素并不会被销毁。...
EGCode:危险地松散键入(未发布的同类)的编程语言的概念的错误实现
05-01
实施得不好的编程语言,危险地是松散地键入。 EGCode编译为JavaScript。 没有数据类型(种类) 因为谁需要“”和“”,我是对的吗 版本:0.8.6 print(hello world) var x(10) print([|x| + 15]) ^ supposed to ...
【ASP.NET编程知识】ASP.NET编译执行常见错误及解决方法汇总.docx
05-19
在ASP.NET编程过程中,开发者经常会遇到各种错误和问题。以下是一些常见的ASP.NET编译和执行错误及其解决方案: 1. **检测到有潜在危险的Request.Form值** 当系统检测到提交的数据可能包含潜在的恶意输入时,会抛...
pikachu文件包含漏洞靶场
A2893992091的博客
09-03 257
找到中间件的日志文件,例如nginx的logs目录下的access.log文件,做这关之前可以先将之前的日志文件和报错文件删除并重启中间件,方便寻找。包含日志的原理其实就是先使用一句话木马访问网址,在日志上留下可执行的php语句的日志信息,然后使当前页面访问日志,达到执行php语句的效果。若是使用GET直接访问,我们输入的特殊字符就会被编码,达不到执行的效果,所以使用bp抓包的方式访问。发现这里的参数是一个php文件,说明可以将这个参数换成我们的脚本。报错说明访问成功了,我们打开日志文件验证一下。
从0开始的CTF个人练习生涯
CHTXRT的博客
09-03 435
就此离开,没人会受伤
如何优化浏览器缓存
web_geek的博客
09-04 1154
不过您使用的是WordPress,就省事很多,有许多出色的 WordPress 插件可以帮助您设置,大多数好的主机公司也会提供设置合理的默认值,比如Hostease的虚拟主机,在默认设置的基础上,您还可以联系技术支持为您做调整,所以说,选择一个可靠的主机商,对于网站建设来说也是非常重要的。每当用户访问您的网站,他他们的浏览器需要从服务器上下载页面显示所需的资源(图片、CSS、JavaScript 和字体等),这些资源的下载会占用带宽,并需要一定的传输时间。这是一个新文件,因此不存在提供过时文件的风险。
Tomato靶场通关攻略
2301_81525518的博客
09-04 748
利用ssh连接写入木马 ssh '
以太坊开发环境
最新发布
禅与代码的艺术
09-07 1034
详细讨论了以太坊测试网络和私有网络。在初步介绍了私有网络设置之后,演示了如何使用 Geth 命令行工具执行各种功能,以及如何与以太坊区块链进行交互。还讨论了如何使用 Mist 来部署合约和发送交易。
2010年最危险的25种编程错误
以下是对这25种最危险编程错误的详细解释: 1. 不正确的输入验证:忽视或不充分检查用户输入,可能导致注入攻击,如SQL注入或跨站脚本(XSS)。 2. 缺乏限制的远程执行代码:允许不受限制的命令执行,攻击者可执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值