端玛科技Logo

专业代码审计服务提供商

Professional Code Review service provider

当前位置:首页新闻资讯

SANS

2023-08-221621

CWE/SANS Top 25

CWE/SANS 25大危险软件错误是一份列表,列出了会导致严重软件漏洞的广泛与关键的25个错误。这些错误通常易于发现,易于利用。它们是非常危险的,因为其经常允许攻击者完全控制软件,窃取数据,或完全阻止软件运作。


25大错误列表是一种教育工具,其通过教育编程人员识别与避免软件发布之前出现的常见错误,来帮助预防软件行业中出现的各种漏洞。软件客户也可以使用这一列表来帮助寻求更安全的软件。软件安全研究人员可以针对该25大错误列表,专注于所有已知安全漏洞中的一个更精确更重要的子集。最后,软件经理与CIO可以将25大错误列表作为衡量工作进展的标尺,以确保其软件安全。


该列表是由SANS协会,MITRE,以及美国与欧洲的许多顶尖软件安全专家合作的结果。以下为该列表的简要摘录:


1.CWE-89对SQL命令中使用的特定元素处理不当(SQL注入)

2.CWE-78对OS命令中使用的特定元素处理不当(OS命令注入)

3.CWE-120 在没有检测输入大小的情况下就对缓冲区进行复制(经典的缓冲区溢出

4.CWE-79 在Web页面生成过程中输入处理不当(跨站脚本)

5.CWE-306 缺少关键函数认证

6.CWE-862 缺少授权

7.CWE-798 使用硬编码凭证

8.CWE-311 缺少对敏感数据的加密

9.CWE-434 对危险类型文件的上载不加限制

10.CWE-807 在安全决策中依赖不可信输入

11.CWE-250 执行冗余特权

12.CWE-352 跨站请求伪造(CSRF)

13.CWE-22 不当地将路径名限制为受限的目录(路径遍历)

14.CWE-494未做完整性检查的情况下下载代码

15.CWE-863错误授权

16.CWE-829 包含不可信控制范围内的函数

17.CWE-732对关键资源的错误权限分配

18.CWE-676使用具有潜在危险的函数

19.CWE-327 使用被破解或有风险的加密算法

20.CWE-131 错误计算缓冲区大小

21.CWE-307 对过多认证尝试的不当限制

22.CWE-601 URL重定向至不可信站点(开放的重定向)

23.CWE-134 不可控的格式字符串

24.CWE-19 整数溢出或无限循环

25.CWE-759 使用没有盐值得单向哈希函数


更多详细信息,请参考:http://cwe.mitre.org/top25/


上一篇:PCI DSS

下一篇:OWASP