۲۵ خطای بزرگ نرم افزاری جهان رایانه
کارشناسان رایانه ای از ۳۰ سازمان بزرگ جهانی لیست ۲۵ خطای برنامه نویسی را منتشر کردند.
متخصصان علوم نرم افزاری از ۳۰ شرکت بزرگ جهانیلیستی را تهیه کردند که در آن ۲۵ خطای بزرگی که منجر به حمله به سیستم های رایانه ای می شود را با ذکر جزییات و نحوه جلوگیری از آنها شرح دادند.
سازمانهایی مانند MITRE، موسسه سنس، آژانس امنیت ملی و واحد امنیت سایبری امریکا در تهیه این لیست کمک نموده وتحت عنوان لیست ۲۰۱۰ منتشر نموده اند. حفره های موسوم به XSS، SQL Injection، و باگهای آور-فلو در زمره خطرناک تربنها قرار گرفته اند. این حفره ها در حملات جدید سایبری از جمله حمله به گوگل و ۳۳ سایت بزرگ دنیا بکار گرفته شده اند.حفره ها ی ناشی از اشتباهات برنامه نویسی عامل اصلی حملاتی است که هکرها با کشف آن سو استفاده کرده و به سیستم های رایانه ای و اینترنتی آسیب می رسانند. حفره های مذکور هنگام برنامه نویسی از چشم متخصصان بدور بوده و برنامه نویسان بدلیل ضعف در کد نویسی نرم افزارهای خود را با امنیت پایین راهی بازار می کنند
در این گزارش از توسعه دهندگان نرم افزاری خواسته شده تا برای محافظت از کاربران هنگام تهیه نرم افزارها و اپلیکیشن های مختلف نکات امنیتی لازم را بکار برند تا میزان آسیب پذیریها صفر شود. کارشناسان امنیتی می گویند بیزنسهای بزرگ می توانند هنگام ارسال درخواست برای داشتن نرم افزار جدید سازندگان را تحت فشار گذاشته تا دقت بیشتری به خرج دهند و نیز برنامه نویسان با آموزشهای بیشتر علم خود را به روز کرده و از این نوع حفره ها در امان بمانند.
برای محکم کاری موسسه سنس نمونه فرمی تهیه کرده و در اختیار سازمانها قرار داده تا هنگام عقد قراردادهای نرم افزاری توسعه دهندگان را ملزم به رعایت نکات امنیتی کنند.
۲۵ خطای برنامه نویسی به شرح زیر آورده می شود:
Rank | Score | ID | Name |
---|---|---|---|
[۱] | ۳۴۶ | CWE-79 | Failure to Preserve Web Page Structure (‘Cross-site Scripting’) |
[۲] | ۳۳۰ | CWE-89 | Improper Sanitization of Special Elements used in an SQL Command (‘SQL Injection’) |
[۳] | ۲۷۳ | CWE-120 | Buffer Copy without Checking Size of Input (‘Classic Buffer Overflow’) |
[۴] | ۲۶۱ | CWE-352 | Cross-Site Request Forgery (CSRF) |
[۵] | ۲۱۹ | CWE-285 | Improper Access Control (Authorization) |
[۶] | ۲۰۲ | CWE-807 | Reliance on Untrusted Inputs in a Security Decision |
[۷] | ۱۹۷ | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) |
[۸] | ۱۹۴ | CWE-434 | Unrestricted Upload of File with Dangerous Type |
[۹] | ۱۸۸ | CWE-78 | Improper Sanitization of Special Elements used in an OS Command (‘OS Command Injection’) |
[۱۰] | ۱۸۸ | CWE-311 | Missing Encryption of Sensitive Data |
[۱۱] | ۱۷۶ | CWE-798 | Use of Hard-coded Credentials |
[۱۲] | ۱۵۸ | CWE-805 | Buffer Access with Incorrect Length Value |
[۱۳] | ۱۵۷ | CWE-98 | Improper Control of Filename for Include/Require Statement in PHP Program (‘PHP File Inclusion’) |
[۱۴] | ۱۵۶ | CWE-129 | Improper Validation of Array Index |
[۱۵] | ۱۵۵ | CWE-754 | Improper Check for Unusual or Exceptional Conditions |
[۱۶] | ۱۵۴ | CWE-209 | Information Exposure Through an Error Message |
[۱۷] | ۱۵۴ | CWE-190 | Integer Overflow or Wraparound |
[۱۸] | ۱۵۳ | CWE-131 | Incorrect Calculation of Buffer Size |
[۱۹] | ۱۴۷ | CWE-306 | Missing Authentication for Critical Function |
[۲۰] | ۱۴۶ | CWE-494 | Download of Code Without Integrity Check |
[۲۱] | ۱۴۵ | CWE-732 | Incorrect Permission Assignment for Critical Resource |
[۲۲] | ۱۴۵ | CWE-770 | Allocation of Resources Without Limits or Throttling |
[۲۳] | ۱۴۲ | CWE-601 | URL Redirection to Untrusted Site (‘Open Redirect’) |
[۲۴] | ۱۴۱ | CWE-327 | Use of a Broken or Risky Cryptographic Algorithm |
[۲۵] | ۱۳۸ | CWE-362 | Race Condition |