http://www.infoq.com/cn/news/2010/02/cwe-sans-top25
CWE/SANS发布的2010年度25个最危险的编程错误,是一个传播最为广泛而且会导致严重软件缺陷的关键编程错误列表。这些错误通 常易于发现并被利 用。之所以危险,是因为它们会频繁地被攻击者利用,来完全接管软件、偷取数据,甚至阻碍软件的运行。
这个错误列表是SANS研究中心、MITRE和许多来自美国和欧洲的顶级软件安全专家共同协作的结果。它参考的经验包括:SANS的 20个攻击导向
、MITRE的普遍缺陷列表( Common Weakness Enumeration
)。
MITRE在美国国土安全部网络安全
部门的支持下维护着CWE网站,对这25个最危险的编程错误提供了详细的说明,以及对如何减轻和避免错误给出了权威的指导。CWE站点包括了超过800个
的编程错误、设计错误以及架构错误,这些错误可能导致软件安全上的缺陷而被攻击者利用。
根据CWE站点的信息:
这
个列表可以作为教育程序员的工具,通过识别和避免非常普遍的错误,在软件发行之前防止各式各样一直折磨软件行业的软件不安全因素。软件客户可以通过同样的
列表来要求更加安全的软件。研究软件安全的人们可以把研究的重点放在这25个范围更小但更重要的软件安全缺陷子集上。最后,软件经理和CIO们可以使用这
个列表来衡量软件产品安全化工作的进度。
2010年度的这个列表是对2009年列表的重要提高,今年的25个错误是根 据来自超过20家不同的组织的数据进行了优先级划分
,而且引入了重点
的分类方法,来允许开发者和其他用户选择自己最关心的25个错误中的一部分。另外,新的列表还添加了一套最有效的“Monster Mitigations
”,来帮助开发者减少或者消除所有25个错误,以及CWE记录的其他800个 不安全因素。
下面是排在前五名的编程安全错误:
- 没有保护Web页面结构 (XSS,跨站点脚本攻击)
- SQL命令中特殊元素的不合理处理(SQL侵入)
- 未检查输入大小的缓存拷贝(经典的缓存 溢出)
- 跨站点请求伪造(CSRF)
- 错误的访问控制(授权)
分享到:
相关推荐
【2011年CWE/SANS Top 25威胁翻译】文档主要聚焦于软件开发中最常见且最具破坏性的25个错误。这些错误可能导致严重的软件漏洞,使攻击者能够完全控制软件,窃取敏感数据,或者干扰软件的正常运行。这份列表旨在教育...
2010年,CWE/SANS发布了一份榜单,列出了25个最危险的软件错误。这个榜单是基于广泛的共识和专家的经验,旨在帮助软件开发者、管理者、以及安全研究人员识别和避免那些可以导致严重软件脆弱性的常见编程错误。这些...
文档"CWE_SANS评出25种最危险的编程错误.doc"主要聚焦于软件开发中的常见且危险的安全问题。CWE(Common Weakness Enumeration)是由MITRE组织维护的一个公开的、标准化的安全弱点列表,它为软件开发人员和安全专业...
CWE Version 4.12是2023年6月29日发布的最新版本,由美国国土安全部国家网络安全司赞助,由麻省理工学院运营。CWE的主要目标是提高软件保障的战略,帮助开发人员、安全专家和组织识别并解决可能导致安全漏洞的编程...
2. CWE/SANS Top 25 Issues:这些是Common Weakness Enumeration (CWE) 和 Sans Institute共同定义的25个最常见的软件弱点。报告中有5个这样的问题,这些都是可能导致安全漏洞的关键点。 3. CWE/SANS On the Cusp ...
在IT安全领域,CWE(Common Weakness Enumeration)是一个广泛使用的标准,用于识别、分类和记录软件中的常见编程错误和漏洞。这些弱点可能导致安全漏洞,让攻击者有机会利用。本项目的目标是生成CWE(Common ...
包括简介,危害,解决方法,不用怕被查,都是我自己从他们的网站自己翻译的
CWE/SANS 前 25 名最危险的软件错误 但是等等,还有更多... ####AppSec 知识 - 了解漏洞#### 标题 关联 网络前 10 名 移动前 10 名 云前 10 名 主动控制前 10 名 备忘单 构建安全 Web 应用程序和 Web 服务...
### CWE/SANS发布2010年25个最危险的编程错误 **知识点:** 1. **CWE/SANS**:Common Weakness Enumeration (CWE) 是一个公共弱点枚举列表,由MITRE公司维护。SANS Institute是一家专注于网络安全教育和研究的组织...
通过理解其工作原理,开发人员可以更有效地提升软件安全性,防止因常见的编程错误导致的安全问题。项目地址(https://github.com/fkie-cad/cwe_checkerBLACK_HAT_2022)提供了更多的资源和信息,供开发人员深入了解...
标题 "cwe900ssjb.zip" 暗示我们关注的是一个与网络安全相关的主题,特别是关于CWE-900(严重安全错误类别)的讨论。CWE(Common Weakness Enumeration)是一个广泛认可的漏洞分类系统,用于识别、记录和防止软件中...
CWE工具一个基于Common Weakness Enumeration的OWASP / CAPSEC数据库的命令行CWE发现工具。安装可通过Node.js工具执行如果您具有Node.js环境,则可以使用cwe-tool调用cwe-tool tool,如下所示: npx cwe-tool [......
- **安全编程指南**:遵循CWE/SANS Top 25漏洞列表避免常见编程错误。 - **代码审计技巧**:运用grep、sed、awk等工具辅助代码审查。 《Professional Linux Programming》这本书通过上述知识点为读者提供了一个全面...
这25个最危险的编程错误被分为三类: 1. **组件间不安全的交互(9个)** 2. **资源管理风险(9个)** 3. **防御薄弱(7个)** 每种错误都包含以下方面的信息: - **CWE ID和名称**:用于唯一标识每个弱点的标准ID...
本次文档所涉及的“信息安全_数据安全_cwe_checker:Hunting Binary Code”介绍了利用cwe_checker工具在多种CPU架构上狩猎二进制代码中的漏洞,包含以下几个方面的主要知识点: 1. 安全可信与安全设计 安全可信强调...
CWE-1000研究概念视图包含了924个弱点条目,涵盖了所有CWE类型的错误,旨在促进对软件和硬件实施中的错误进行更深入的研究和分析,从而预防和减少安全漏洞的发生。通过理解和应用CVE与CWE的知识,开发者和安全专家...
cwe_checker是一整套检查,以检测常见的错误类,例如使用危险函数和简单的整数溢出。 这些错误类正式称为(CWE)。 它的主要目的是帮助分析人员快速找到易受攻击的代码路径。 它的主要重点是Linux和Unix操作系统上...