Relatório pretende ser um checklist para verificar os erros mais graves que acometem os softwares e servir de critérios para o fechamento de contratos comerciais.
m fórum formado por mais de 30 organizações ligadas à computação conseguiram fechar um documento consensual sobre as piores coisas que podem acontecer quando os softwares são desenvolvidos.
O grupo é liderado por especialistas da Agência de Segurança Nacional dos Estados Unidos (NSA), pelo Departamento de Segurança Nacional, pelas empresas Microsoft e Symantec.
O Estado de Nova York está criando documentos que podem ser usados por agências governamentais para que os fornecedores se certifiquem de que seus códigos não possuem qualquer um dos erros da lista. Futuramente, o documento pode responsabilizar o fornecedor caso o software tenha algum bug que leve a um problema de segurança, disse Paller.
Traduzimos aqui os títulos das três categorias que dividem os 25 itens. Maiores informações acesse Top 25 Most Dangerous Programming Erros.
Categoria: Interação entre componentes insegura
CWE-20: Validação de entrada indevida.
CWE-116: Codificação de saída imprópria.
CWE-89: Falha em preservar a estrutura de consulta SQL (também conhecido como 'SQL Injection')
CWE-79: Falha em preservar a estrutura da página Web (também conhecido como 'Cross-site Scripting')
CWE-78: Falha em preservar a estrutura de comando do sistema operacional (também conhecido como 'OS Command Injection')
CWE-319: Transmissão de informações sigilosos em texto claro
CWE-352: Falsa requisição entre sites (Cross-Site Request Forgery - CSRF)
CWE-362: Condição de Corrida (Race Condition)
CWE-209: Vazamento de informações em mensagens de erro
Categoria: Gerenciamento de recursos arriscados
CWE-119: Falha em restringir operações dentro dos limites de um Buffer de Memória
CWE-642: Controle externo de dados de estado crítico
CWE-73: Controle externo de caminho ou nome de arquivo
CWE-426: Caminho de busca não confiável
CWE-94: Falha no controle de geração de código (também conhecido como 'Code Injection')
CWE-494: Download de código sem verificação de integridade
CWE-404: Liberação ou fechamento de recurso indevido.
CWE-665: Inicialização indevida
CWE-682: Cálculo incorreto
Categoria: Defesas permissivas
CWE-285: Controle de acesso inapropriado (autorização)
CWE-327: Utilização de algoritmo de criptografia quebrado ou arriscado.
CWE-259: Senha escrita no código-fonte (hard-coded)
CWE-732: Cessão de permissão insegura para recursos críticos
CWE-330: Uso de valores insuficientemente randômicos
CWE-250: Execução com privilégios desnecessários
CWE-602: Esforços no lado cliente da aplicação para a segurança do lado servidor
No ano passado, apenas dois dos erros presentes na lista geraram brechas em mais de 1,5 milhão de sites na grande rede, disse o SANS.
Via IDG Now!
Leia Mais : Americanos listam os 25 erros de programação mais perigosos | Blog Brasil Acadêmico
loading...
Uma equipe de pesquisadores da Columbia University diz que descobriu uma falha de segurança envolvendo sistemas embarcados de impressoras: hackers poderiam obter o controle do aparelho e reescrever o firmware sem ninguém saber, e então usá-las para...
Se você foi contaminado pelo vírus do Twitter, a dica é apagar os cookies do seu navegador e mudar sua senhaOntem o Twitter foi afetado por uma grande falha de segurança que permitia que qualquer pessoa incluísse códigos maliciosos ao Search do...
Tavis Ormandy localizou brecha que permite download de documentos do computador através do Centro de Ajuda e Suporte do sistema operacional Depois de anunciar que estaria fazendo substituições de todos...
Autor Olhar Digital Veja Video da Materia Aqui Apesar de ser necessário, o funcionário também tem direito de manter sua privacidade Links :Antivírus gratuitos: qual deles é o melhor? Comodo Internet SecurityZone Alarm Free Visualização...
Especialistas descrevem o que fazer para evitar que e-mails e senhas vão parar na internet O vazamento de mais de 30 mil senhas dos usuários dos serviços Hotmail, Gmail e Yahoo! mostra a necessidade de manter dados pessoais da maneira mais segura...