۲۵ خطای بزرگ نرم افزاری جهان رایانه

  • ۱۳۸۸/۱۲/۰۵
  • ITTeach
  • 0

کارشناسان رایانه ای از ۳۰ سازمان بزرگ جهانی لیست ۲۵ خطای برنامه نویسی را منتشر کردند.

متخصصان علوم نرم افزاری از ۳۰ شرکت بزرگ جهانیلیستی را تهیه کردند که در آن ۲۵ خطای بزرگی که منجر به حمله به سیستم های رایانه ای می شود را با ذکر جزییات و نحوه جلوگیری از آنها شرح دادند.

سازمانهایی مانند MITRE، موسسه سنس، آژانس امنیت ملی و واحد امنیت سایبری امریکا در تهیه این لیست کمک نموده وتحت عنوان لیست ۲۰۱۰ منتشر نموده اند. حفره های موسوم به XSS، SQL Injection، و باگهای آور-فلو در زمره خطرناک تربنها قرار گرفته اند. این حفره ها در حملات جدید  سایبری از جمله حمله به گوگل و ۳۳ سایت بزرگ دنیا بکار گرفته شده اند.حفره ها ی ناشی از اشتباهات برنامه نویسی عامل اصلی حملاتی است که هکرها با کشف آن سو استفاده کرده و به سیستم های رایانه ای و اینترنتی آسیب می رسانند. حفره های مذکور هنگام برنامه نویسی از چشم متخصصان بدور بوده و برنامه نویسان بدلیل ضعف در کد نویسی نرم افزارهای خود را با امنیت پایین راهی بازار می کنند

در این گزارش از توسعه دهندگان نرم افزاری خواسته شده تا برای محافظت از کاربران هنگام تهیه نرم افزارها و اپلیکیشن های مختلف نکات امنیتی لازم را بکار برند تا میزان آسیب پذیریها صفر شود. کارشناسان امنیتی می گویند بیزنسهای بزرگ می توانند هنگام ارسال درخواست برای داشتن نرم افزار جدید سازندگان را تحت فشار گذاشته تا دقت بیشتری به خرج دهند و نیز برنامه نویسان با آموزشهای بیشتر علم خود را به روز کرده و از این نوع حفره ها در امان بمانند.

برای محکم کاری موسسه سنس نمونه فرمی تهیه کرده و در اختیار سازمانها قرار داده تا هنگام عقد قراردادهای نرم افزاری توسعه دهندگان را ملزم به رعایت نکات امنیتی کنند.

۲۵ خطای برنامه نویسی به شرح زیر آورده می شود:

Rank Score ID Name
[۱] ۳۴۶ CWE-79 Failure to Preserve Web Page Structure (‘Cross-site Scripting’)
[۲] ۳۳۰ CWE-89 Improper Sanitization of Special Elements used in an SQL Command (‘SQL Injection’)
[۳] ۲۷۳ CWE-120 Buffer Copy without Checking Size of Input (‘Classic Buffer Overflow’)
[۴] ۲۶۱ CWE-352 Cross-Site Request Forgery (CSRF)
[۵] ۲۱۹ CWE-285 Improper Access Control (Authorization)
[۶] ۲۰۲ CWE-807 Reliance on Untrusted Inputs in a Security Decision
[۷] ۱۹۷ CWE-22 Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)
[۸] ۱۹۴ CWE-434 Unrestricted Upload of File with Dangerous Type
[۹] ۱۸۸ CWE-78 Improper Sanitization of Special Elements used in an OS Command (‘OS Command Injection’)
[۱۰] ۱۸۸ CWE-311 Missing Encryption of Sensitive Data
[۱۱] ۱۷۶ CWE-798 Use of Hard-coded Credentials
[۱۲] ۱۵۸ CWE-805 Buffer Access with Incorrect Length Value
[۱۳] ۱۵۷ CWE-98 Improper Control of Filename for Include/Require Statement in PHP Program (‘PHP File Inclusion’)
[۱۴] ۱۵۶ CWE-129 Improper Validation of Array Index
[۱۵] ۱۵۵ CWE-754 Improper Check for Unusual or Exceptional Conditions
[۱۶] ۱۵۴ CWE-209 Information Exposure Through an Error Message
[۱۷] ۱۵۴ CWE-190 Integer Overflow or Wraparound
[۱۸] ۱۵۳ CWE-131 Incorrect Calculation of Buffer Size
[۱۹] ۱۴۷ CWE-306 Missing Authentication for Critical Function
[۲۰] ۱۴۶ CWE-494 Download of Code Without Integrity Check
[۲۱] ۱۴۵ CWE-732 Incorrect Permission Assignment for Critical Resource
[۲۲] ۱۴۵ CWE-770 Allocation of Resources Without Limits or Throttling
[۲۳] ۱۴۲ CWE-601 URL Redirection to Untrusted Site (‘Open Redirect’)
[۲۴] ۱۴۱ CWE-327 Use of a Broken or Risky Cryptographic Algorithm
[۲۵] ۱۳۸ CWE-362 Race Condition

دیدگاه خود را وارد کنید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *