偶看新闻狮驼岭装备怎么选择:最危险的25个编程错误
来源:百度文库 编辑:偶看新闻 时间:2024/04/28 20:22:35
2011年最危险的25个编程错误摘自:http://cwe.mitre.org/top25/#CWE-190
1]93.8CWE-89Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')[2]83.3CWE-78Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')[3]79.0CWE-120Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')[4]77.7CWE-79Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')[5]76.9CWE-306Missing Authentication for Critical Function[6]76.8CWE-862Missing Authorization[7]75.0CWE-798Use of Hard-coded Credentials[8]75.0CWE-311Missing Encryption of Sensitive Data[9]74.0CWE-434Unrestricted Upload of File with Dangerous Type[10]73.8CWE-807Reliance on Untrusted Inputs in a Security Decision[11]73.1CWE-250Execution with Unnecessary Privileges[12]70.1CWE-352Cross-Site Request Forgery (CSRF)[13]69.3CWE-22Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')[14]68.5CWE-494Download of Code Without Integrity Check[15]67.8CWE-863Incorrect Authorization[16]66.0CWE-829Inclusion of Functionality from Untrusted Control Sphere[17]65.5CWE-732Incorrect Permission Assignment for Critical Resource[18]64.6CWE-676Use of Potentially Dangerous Function[19]64.1CWE-327Use of a Broken or Risky Cryptographic Algorithm[20]62.4CWE-131Incorrect Calculation of Buffer Size[21]61.5CWE-307Improper Restriction of Excessive Authentication Attempts[22]61.1CWE-601URL Redirection to Untrusted Site ('Open Redirect')[23]61.0CWE-134Uncontrolled Format String[24]60.3CWE-190Integer Overflow or Wraparound[25]59.9CWE-759Use of a One-Way Hash without a Salt
------------------------------------------------------------------------------------------------2010年最危险的25个编程错误------------------------------------------------------------------------------------------------1. 跨站点脚本攻击(4)
2. SQL注入(3)
3. 经典缓冲区溢出(1)
4. 跨站点请求伪造(7)
5. 不正确的访问控制(授权)
6. 在安全决策中依赖不可信的输入
7. 不正确地将路径名限制为受限路径
8. 上传危险类型的文件不受限
9. 操作系统命令中特殊因素的处理不正确(操作系统命令注入)(5)
10. 敏感信息未加密(6)
11. 使用硬编码凭据(21)
12. 以不正确的长度值访问缓冲区
13. PHP程序中Include/Require语句文件名控制不正确(PHP文件侵入)
14. 数组下标验证不正确
15. 异常条件检查不正确
16. 错误消息泄露信息(9)
17. 整数溢出
18. 缓冲区大小计算错误
19. 关键函数缺乏身份验证
20. 下载未经完整性检查的代码(15)
21. 对关键资源的错误权限分配(22)
22. 资源分配没有限制
23. URL重导向到不受信的资源
24. 使用被破解或有风险的加密算法(20)
25. 存在竞争情况(Race condition)(8)
其中后加括号有数字的,是该项错误去年的排名。显然,连续两年都入选的错误,千万不要再犯了。
另外,我们对比了去年前25名名单,列出今年落榜的错误如下,相信这些错误仍然具有相当的风险性。
2. 不正确的编码或转义输出
10. 限定缓冲区内操作失败
11. 外部控制重要状态数据
12. 外部控制文件名或路径
13. 不可信搜索路径
14. 控制代码生成错误(代码注入)
15. 错误的资源关闭或发布
17. 不正确的初始化
18. 错误计算
19. 可渗透防护
23. 随机值的错误利用
24. 滥用特权操作
25. 客户端执行服务器端安全
1]93.8CWE-89Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')[2]83.3CWE-78Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')[3]79.0CWE-120Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')[4]77.7CWE-79Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')[5]76.9CWE-306Missing Authentication for Critical Function[6]76.8CWE-862Missing Authorization[7]75.0CWE-798Use of Hard-coded Credentials[8]75.0CWE-311Missing Encryption of Sensitive Data[9]74.0CWE-434Unrestricted Upload of File with Dangerous Type[10]73.8CWE-807Reliance on Untrusted Inputs in a Security Decision[11]73.1CWE-250Execution with Unnecessary Privileges[12]70.1CWE-352Cross-Site Request Forgery (CSRF)[13]69.3CWE-22Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')[14]68.5CWE-494Download of Code Without Integrity Check[15]67.8CWE-863Incorrect Authorization[16]66.0CWE-829Inclusion of Functionality from Untrusted Control Sphere[17]65.5CWE-732Incorrect Permission Assignment for Critical Resource[18]64.6CWE-676Use of Potentially Dangerous Function[19]64.1CWE-327Use of a Broken or Risky Cryptographic Algorithm[20]62.4CWE-131Incorrect Calculation of Buffer Size[21]61.5CWE-307Improper Restriction of Excessive Authentication Attempts[22]61.1CWE-601URL Redirection to Untrusted Site ('Open Redirect')[23]61.0CWE-134Uncontrolled Format String[24]60.3CWE-190Integer Overflow or Wraparound[25]59.9CWE-759Use of a One-Way Hash without a Salt
------------------------------------------------------------------------------------------------2010年最危险的25个编程错误------------------------------------------------------------------------------------------------1. 跨站点脚本攻击(4)
2. SQL注入(3)
3. 经典缓冲区溢出(1)
4. 跨站点请求伪造(7)
5. 不正确的访问控制(授权)
6. 在安全决策中依赖不可信的输入
7. 不正确地将路径名限制为受限路径
8. 上传危险类型的文件不受限
9. 操作系统命令中特殊因素的处理不正确(操作系统命令注入)(5)
10. 敏感信息未加密(6)
11. 使用硬编码凭据(21)
12. 以不正确的长度值访问缓冲区
13. PHP程序中Include/Require语句文件名控制不正确(PHP文件侵入)
14. 数组下标验证不正确
15. 异常条件检查不正确
16. 错误消息泄露信息(9)
17. 整数溢出
18. 缓冲区大小计算错误
19. 关键函数缺乏身份验证
20. 下载未经完整性检查的代码(15)
21. 对关键资源的错误权限分配(22)
22. 资源分配没有限制
23. URL重导向到不受信的资源
24. 使用被破解或有风险的加密算法(20)
25. 存在竞争情况(Race condition)(8)
其中后加括号有数字的,是该项错误去年的排名。显然,连续两年都入选的错误,千万不要再犯了。
另外,我们对比了去年前25名名单,列出今年落榜的错误如下,相信这些错误仍然具有相当的风险性。
2. 不正确的编码或转义输出
10. 限定缓冲区内操作失败
11. 外部控制重要状态数据
12. 外部控制文件名或路径
13. 不可信搜索路径
14. 控制代码生成错误(代码注入)
15. 错误的资源关闭或发布
17. 不正确的初始化
18. 错误计算
19. 可渗透防护
23. 随机值的错误利用
24. 滥用特权操作
25. 客户端执行服务器端安全
世界上最危险的大峡谷
世界上最危险的工作
最常用的编程
最简单的编程
编程时候出现的错误!!!!
喷嘴调节的机组最危险工况,第一个调节伐全开,第二个尚未开启,为什么.
最危险的游戏--玩火自焚【急急急!!!】
深圳最危险的地方在那里
家里最危险的地方是哪里?
最危险的人是那国人
哪种性病是最危险的?
最危险的十大体育项目?
编程的个问题?
什么是最简单的编程?
最有前途的编程语言
在月经完的第一个 星期能ML吗?安全吗?请问在什么时候ML最危险呢
最危险的地方就是最安全的地方
刺猬最身上最危险的地方是哪里?
形容极端危险的成语?5个
C编程的时候出现的错误!!
关于C语言的图形编程错误
在c编程后的错误!
数据库编程中sql语句的错误
舟--VC-openGL的编程错误