可靠的企业战略,数字化转型,智能化转型和企业架构智库

【应用安全】CWE/SANS前25个最危险的软件错误

点击任何列表中的CWE ID,您将被引导到MITRE CWE站点中的相关站点,在那里您可以找到以下内容:

  • 前25名的排名,
  • 链接到完整的CWE条目数据,
  • 弱点流行率和后果的数据字段,
  • 补救成本,
  • 容易被发现,
  • 代码示例,
  • 检测方法,
  • 攻击频率和攻击者意识
  • 相关CWE条目,以及
  • 针对这一弱点的相关攻击模式。

前25个软件错误站点的每个条目还包括相当广泛的预防和补救步骤,开发人员可以采取这些步骤来减轻或消除弱点。

档案文件

CWE前25名

Rank ID Name
[1] CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer
[2] CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
[3] CWE-20 Improper Input Validation
[4] CWE-200 Information Exposure
[5] CWE-125 Out-of-bounds Read
[6] CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
[7] CWE-416 Use After Free
[8] CWE-190 Integer Overflow or Wraparound
[9] CWE-352 Cross-Site Request Forgery (CSRF)
[10] CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
[11] CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
[12] CWE-787 Out-of-bounds Write
[13] CWE-287 Improper Authentication
[14] CWE-476 NULL Pointer Dereference
[15] CWE-732 Incorrect Permission Assignment for Critical Resource
[16] CWE-434 Unrestricted Upload of File with Dangerous Type
[17] CWE-611 Improper Restriction of XML External Entity Reference
[18] CWE-94 Improper Control of Generation of Code ('Code Injection')
[19] CWE-798 Use of Hard-coded Credentials
[20] CWE-400 Uncontrolled Resource Consumption
[21] CWE-772 Missing Release of Resource after Effective Lifetime
[22] CWE-426 Untrusted Search Path
[23] CWE-502 Deserialization of Untrusted Data
[24] CWE-269 Improper Privilege Management
[25] CWE-295 Improper Certificate Validation

 

 

Rank ID Name
[1] CWE-119 内存缓冲区范围内的操作限制不正确
[2] CWE-79 网页生成过程中输入的中和不正确(“跨站点脚本”)
[3] CWE-20 输入验证不正确
[4] CWE-200 信息披露
[5] CWE-125 越界读取
[6] CWE-89

SQL命令中使用的特殊元素的不正确中和(“SQL注入”)

[7] CWE-416 释放后使用
[8] CWE-190 整数溢出或环绕
[9] CWE-352 跨站点请求伪造(CSRF)
[10] CWE-22 路径名对受限制目录的限制不正确(“路径遍历”)
[11] CWE-78 操作系统命令中使用的特殊元素的不正确中和(“操作系统命令注入”)
[12] CWE-787 越界写入
[13] CWE-287 身份验证不正确
[14] CWE-476 空指针取消引用
[15] CWE-732 关键资源的权限分配不正确
[16] CWE-434 不受限制地上载危险类型的文件
[17] CWE-611 XML外部实体引用的限制不正确
[18] CWE-94 代码生成控制不当(“代码注入”)
[19] CWE-798 硬编码凭证的使用
[20] CWE-400 不受控制的资源消耗
[21] CWE-772 有效生存期后缺少资源释放
[22] CWE-426 不受信任的搜索路径
[23] CWE-502 不可信数据的反序列化
[24] CWE-269 权限管理不当
[25] CWE-295 证书验证不正确

帮助消除前25个软件错误的资源

SAN应用程序安全课程

SANS应用程序安全课程旨在通过提供世界级的教育资源来设计、开发、采购、部署和管理安全软件,将安全性深入人心。应用程序安全系是具有数十年应用程序安全经验的实战人员。我们课程中涵盖的概念将适用于您返回工作岗位当天的软件安全计划:

  • DEV522:保护Web应用程序安全要素
  • DEV534:安全DevOps:实用介绍
  • DEV540:安全的DevOps和云应用程序安全

 

SANS维护一个应用程序安全网络人才评估,该评估衡量安全编码技能,允许程序员确定其安全编码知识的差距,并允许买家确保外包程序员有足够的编程技能。组织可以在https://www.sans.org/cybertalent/assessment-detail?msc=top25hp#appsec

开发人员安全意识培训

SANS安全意识开发人员产品根据需要提供精确的软件安全意识培训,所有这些都是在您的办公桌上进行的。应用安全意识培训包括30多个模块,平均7-10分钟,最大限度地提高学习者的参与度和保持力。这些模块涵盖了PCI第6.5节法规遵从性主题的全部广度和深度,以及对安全软件开发非常重要的项目。

前25个错误列表将定期更新,并发布在SANS和MITRE站点

CWE Top 25 Software Errors Site

MITRE在美国国土安全部国家网络安全部门的支持下维护CWE(Common Weakness Enumeration)网站,详细描述前25个软件错误,并提供减轻和避免这些错误的权威指导。该站点还包含700多个额外软件错误、设计错误和架构错误的数据,这些错误可能导致可利用的漏洞。CWE网站

SAFECode—

软件保证卓越代码论坛(成员包括EMC、Juniper、Microsoft、Nokia、SAP和Symantec)已出版了两本优秀的出版物,概述了软件保证的行业最佳做法,并为实施安全软件开发的经验证方法提供了实用建议。

安全软件开发基本实践第3版

  • https://safecode.org/publications/#安全代码出版物-2362个
  • 软件完整性控制概述
  • https://safecode.org/publications/#安全代码出版物-189个
  • 软件供应链完整性框架
  • https://safecode.org/publications/#安全代码出版物-188
  • 安全软件开发的基本实践
  • https://safecode.org/publications/#安全代码出版物-186个
  • 软件保证:当前行业最佳实践概述
  • https://safecode.org/publications/#安全代码出版物-185个

软件保障社区资源网站和DHS网站

作为DHS风险缓解工作的一部分,为了提高网络资产的弹性,软件保证计划旨在减少软件漏洞,最大限度地减少利用,并解决如何以可预测的执行方式定期获取、开发和部署可靠和可信赖的软件产品,以及提高诊断能力分析系统是否存在可利用的弱点。

近十几家软件公司提供自动化工具来测试这些错误的程序。

 

原文:https://www.sans.org/top25-software-errors/

本文:http://jiagoushi.pro/node/1078

讨论:请加入知识星球【首席架构师圈】或者小号【jiagoushi_pro】