http://www.infoq.com/cn/news/2010/02/cwe-sans-top25
CWE/SANS发布的2010年度25个最危险的编程错误,是一个传播最为广泛而且会导致严重软件缺陷的关键编程错误列表。这些错误通 常易于发现并被利 用。之所以危险,是因为它们会频繁地被攻击者利用,来完全接管软件、偷取数据,甚至阻碍软件的运行。
这个错误列表是SANS研究中心、MITRE和许多来自美国和欧洲的顶级软件安全专家共同协作的结果。它参考的经验包括:SANS的 20个攻击导向
、MITRE的普遍缺陷列表( Common Weakness Enumeration
)。
MITRE在美国国土安全部网络安全
部门的支持下维护着CWE网站,对这25个最危险的编程错误提供了详细的说明,以及对如何减轻和避免错误给出了权威的指导。CWE站点包括了超过800个
的编程错误、设计错误以及架构错误,这些错误可能导致软件安全上的缺陷而被攻击者利用。
根据CWE站点的信息:
这
个列表可以作为教育程序员的工具,通过识别和避免非常普遍的错误,在软件发行之前防止各式各样一直折磨软件行业的软件不安全因素。软件客户可以通过同样的
列表来要求更加安全的软件。研究软件安全的人们可以把研究的重点放在这25个范围更小但更重要的软件安全缺陷子集上。最后,软件经理和CIO们可以使用这
个列表来衡量软件产品安全化工作的进度。
2010年度的这个列表是对2009年列表的重要提高,今年的25个错误是根 据来自超过20家不同的组织的数据进行了优先级划分
,而且引入了重点
的分类方法,来允许开发者和其他用户选择自己最关心的25个错误中的一部分。另外,新的列表还添加了一套最有效的“Monster Mitigations
”,来帮助开发者减少或者消除所有25个错误,以及CWE记录的其他800个 不安全因素。
下面是排在前五名的编程安全错误:
- 没有保护Web页面结构 (XSS,跨站点脚本攻击)
- SQL命令中特殊元素的不合理处理(SQL侵入)
- 未检查输入大小的缓存拷贝(经典的缓存 溢出)
- 跨站点请求伪造(CSRF)
- 错误的访问控制(授权)
分享到:
相关推荐
2011年cwe与sans的top25威胁翻译.docx2011年cwe与sans的top25威胁翻译.docx2011年cwe与sans的top25威胁翻译.docx2011年cwe与sans的top25威胁翻译.docx2011年cwe与sans的top25威胁翻译.docx2011年cwe与sans的top25...
CWE_SANS评出25种最危险的编程错误.doc
CWE/SANS发布2010年25个最危险的编程错误 Google将不再支持老式浏览器 SOA设计关乎契约还是服务实现? Chrome中5大安全增强 Amazon EC2因订购过多而导致内部网络延迟? 全景透视Oracle对Sun的未来规划 ...
2010最危险的25种编码错误,资料来源http://cwe.mitre.org
包括简介,危害,解决方法,不用怕被查,都是我自己从他们的网站自己翻译的
CWE/SANS 前 25 名最危险的软件错误 但是等等,还有更多... ####AppSec 知识 - 了解漏洞#### 标题 关联 网络前 10 名 移动前 10 名 云前 10 名 主动控制前 10 名 备忘单 构建安全 Web 应用程序和 Web 服务...
CWE(Common Weakness Enumeration) 2023最新版本
CWE工具一个基于Common Weakness Enumeration的OWASP / CAPSEC数据库的命令行CWE发现工具。安装可通过Node.js工具执行如果您具有Node.js环境,则可以使用cwe-tool调用cwe-tool tool,如下所示: npx cwe-tool [......
cwe_checker是一整套检查,以检测常见的错误类,例如使用危险函数和简单的整数溢出。 这些错误类正式称为(CWE)。 它的主要目的是帮助分析人员快速找到易受攻击的代码路径。 它的主要重点是Linux和Unix操作系统上...
cwe_latest 2021 common weakness enumeration.pdf
SANS AUD 507,SANS AUD 507,SANS AUD 507,SANS AUD 507,SANS AUD 507,
信息安全_数据安全_cwe_checker:Hunting Binary Code 安全可信 安全设计 数字取证 云安全 安全风险
CWE Checker通常会扫描二进制文件,查找与CWE中描述的已知软件弱点相关的迹象。它可以帮助开发人员发现潜在的安全问题,并提供建议或建议修复方案,以改进软件的安全性。 项目地址: ...
cwe900ssjb.zip
cwe-sdk 符合MITER / CAPEC的通用弱点枚举(CWE)Node.js SDK 安装 yarn add cwe-sdk 用法 需要CweManager类并使用其方法 const { CweManager } = require ( 'cwe-sdk' ) 例子 const { CweManager } = require ( '...
使用这个扩展名,Portcullis测试团队能够使用正则表达式和/或关键词来搜索完整的CWE字典,以快速识别最合适的CWE。这是在我们的报告中提到我们为客户找到的所有特定漏洞。 支持语言:English (UK)
语言:English (UK) 此扩展为常见的弱点枚举... 使用此扩展,Portcullis测试团队能够使用正则表达式和/或密钥字来搜索完整的CWE字典,以快速识别最合适的CWE。 这是在我们的报告中引用,我们为客户找到的所有特定漏洞。
CWE476
CVE-CWE概念与理解介绍。什么是CVE?什么是CWE?他们之间的关联与评分标准。