Los 25 errores más comunes en programación

Lunes 26 de Enero de 2009 01:35

Pantalla azul de la muerte SANS (SysAdmin, Audit, Network, Security) ha publicado el listado de los 25 errores más comunes que afectan a los sitios Web, de acuerdo a 30 expertos internacionales en seguridad

Los errores se encuentran catalogados en CWE (Common Weakness Enumeration) y están organizados en tres niveles

Los errores publicados corresponden a los reportados como CWE (Common Weakness Enumeration) y fueron organizadas en tres niveles con distintos errores en cada uno de ellos.

Interacción insegura entre componentes

La forma en que los datos son enviados y recibidos entre componentes, módulos, procesos, programas, threads o sistemas es inseguro.

CWE-20: Validación de datos de entrada errónea
CWE-116: Codificación y escapeo de datos de salida erróneo.
CWE-89: Inyección de comandos SQL ('SQL Injection')
CWE-79: XSS ('Cross-site Scripting')
CWE-78: Inyección de comandos de SO ('OS Command Injection')
CWE-319: Transmisión textual de información sensible
CWE-352: Cross-Site Request Forgery (CSRF)
CWE-362: Race Condition
CWE-209: Fugas de información en mensajes de error

Administración riesgosa de recursos

El software no administra en forma adecuada la creación, uso, transferencia o destrucción de recursos importantes del sistema.

CWE-119: Fallo en las restricciones de las operaciones dentro de los límites del buffer de la memoria
CWE-642: Control externo de datos críticos
CWE-73: Control externo de nombres de archivos y rutas
CWE-426: Ruta de búsqueda no confiable
CWE-94: Fallo en el control de generación de código ('Code Injection')
CWE-494: Descarga de código sin verificar la integridad
CWE-404: Inadecuado cierre de recursos
CWE-665: Inadecuada inicialización
CWE-682: Cálculo incorrecto