본문 바로가기

Security Indicator

Top 25 프로그래밍 에러

http://cwe.mitre.org/top25/index.html

 

여기를 참고 하시기 바랍니다.

2009년 한해에 발견된 프로그래밍 실수와 문제점들에 대해서 정리된 내용입니다.

 


Failure to Preserve Web Page Structure ('Cross-site
Scripting')

Improper Sanitization of Special Elements used in an SQL
Command ('SQL Injection')

Buffer Copy without Checking Size of Input ('Classic Buffer
Overflow')

Cross-Site Request Forgery (CSRF)

Improper Access Control (Authorization)

Reliance on Untrusted Inputs in a Security Decision

Improper Limitation of a Pathname to a Restricted
Directory ('Path Traversal')

Unrestricted Upload of File with Dangerous Type

Improper Sanitization of Special Elements used in an OS
Command ('OS Command Injection')

Missing Encryption of Sensitive Data

Use of Hard-coded Credentials

Buffer Access with Incorrect Length Value

Improper Control of Filename for Include/Require
Statement in PHP Program ('PHP File Inclusion')


Improper Validation of Array Index

Improper Check for Unusual or Exceptional Conditions

Information Exposure Through an Error Message

Integer Overflow or Wraparound

Incorrect Calculation of Buffer Size

Missing Authentication for Critical Function

Download of Code Without Integrity Check

Incorrect Permission Assignment for Critical Resource

Allocation of Resources Without Limits or Throttling
URL Redirection to Untrusted Site ('Open Redirect')

Use of a Broken or Risky Cryptographic Algorithm

Race Condition

 

위와 같이 25가지 정도의 분류를 뽑아 놨습니다. 중요도, 파급도, 빈도에 따른 나열입니다.

대부분의 중요한 문제들이 Web application이라는 특징을 볼 수 있습니다.

예전 같으면 BOF가 최상위에 몇 개나 링크 되었겠지만 절대로 그렇지 않다는 현상을 볼 수가 있죠.

 

인터넷의 위기라는 말은 여전히 유효하고 앞으로 더 리얼한 예들을 보게 될 것이고 피해를 입게 될 것입니다.

어떤 도구를 사용하고 어떤 방식을 이용하던 근본은 변함이 없다는 점을 유념하세요.

 

각 부분별 상세한 설명과 영향도는 초기 링크의 PDF 문서를 참고 하시기 바랍니다. 페이지에도 잘 나와 있습니다.

 

그럼.