http://cwe.mitre.org/top25/index.html
여기를 참고 하시기 바랍니다.
2009년 한해에 발견된 프로그래밍 실수와 문제점들에 대해서 정리된 내용입니다.
Failure to Preserve Web Page Structure ('Cross-site
Scripting')
Improper Sanitization of Special Elements used in an SQL
Command ('SQL Injection')
Buffer Copy without Checking Size of Input ('Classic Buffer
Overflow')
Cross-Site Request Forgery (CSRF)
Improper Access Control (Authorization)
Reliance on Untrusted Inputs in a Security Decision
Improper Limitation of a Pathname to a Restricted
Directory ('Path Traversal')
Unrestricted Upload of File with Dangerous Type
Improper Sanitization of Special Elements used in an OS
Command ('OS Command Injection')
Missing Encryption of Sensitive Data
Use of Hard-coded Credentials
Buffer Access with Incorrect Length Value
Improper Control of Filename for Include/Require
Statement in PHP Program ('PHP File Inclusion')
Improper Validation of Array Index
Improper Check for Unusual or Exceptional Conditions
Information Exposure Through an Error Message
Integer Overflow or Wraparound
Incorrect Calculation of Buffer Size
Missing Authentication for Critical Function
Download of Code Without Integrity Check
Incorrect Permission Assignment for Critical Resource
Allocation of Resources Without Limits or Throttling
URL Redirection to Untrusted Site ('Open Redirect')
Use of a Broken or Risky Cryptographic Algorithm
Race Condition
위와 같이 25가지 정도의 분류를 뽑아 놨습니다. 중요도, 파급도, 빈도에 따른 나열입니다.
대부분의 중요한 문제들이 Web application이라는 특징을 볼 수 있습니다.
예전 같으면 BOF가 최상위에 몇 개나 링크 되었겠지만 절대로 그렇지 않다는 현상을 볼 수가 있죠.
인터넷의 위기라는 말은 여전히 유효하고 앞으로 더 리얼한 예들을 보게 될 것이고 피해를 입게 될 것입니다.
어떤 도구를 사용하고 어떤 방식을 이용하던 근본은 변함이 없다는 점을 유념하세요.
각 부분별 상세한 설명과 영향도는 초기 링크의 PDF 문서를 참고 하시기 바랍니다. 페이지에도 잘 나와 있습니다.
그럼.
'Security Indicator' 카테고리의 다른 글
| zeroday worm (침해사고 유형의 발전) (0) | 2010.04.27 |
|---|---|
| wmf 이미지 공격을 통한 대규모 피해 우려 (0) | 2010.04.27 |
| Threat of China II - 긴급 경고 (0) | 2010.04.27 |
| Sourceforge 등록 - 효과 있는 웹 스캐너 개발 참여 (0) | 2010.04.27 |
| Small World의 Security ( koobface, Mikeyy). (0) | 2010.04.27 |