Los 25 errores más peligrosos del software según CWE/SANS 2011
Como el título indica, esta es la lista que este año han creado CWE/SANS sobre los errores más peligrosos que cometemos los programadores en este año 2011.
| Pos | Punt | ID | Descripción |
|---|---|---|---|
| [1] | 93.8 | CWE-89 | No filtrar propiamente las sentencias SQL (Inyección SQL) |
| [2] | 83.3 | CWE-78 | No filtrar las llamadas al sistema de forma adecuada (Inyección en comandos del SO) |
| [3] | 79.0 | CWE-120 | No chequear el tamaño de la memoria reservada a la hora de copiar datos (desbordamiento de memoria) |
| [4] | 77.7 | CWE-79 | No detectar la inyección de scripting (XSS) |
| [5] | 76.9 | CWE-306 | No autentificar en llamada a funciones críticas |
| [6] | 76.8 | CWE-862 | No autorización |
| [7] | 75.0 | CWE-798 | Usar credenciales estáticos en el código |
| [8] | 75.0 | CWE-311 | No cifrado de datos sensibles |
| [9] | 74.0 | CWE-434 | No restringir la subida de ficheros a ciertos formatos |
| [10] | 73.8 | CWE-807 | Confiar en una fuente de datos no confiable a la hora de tomar una decisión de seguridad |
| [11] | 73.1 | CWE-250 | Ejecución con privilegios innecesarios |
| [12] | 70.1 | CWE-352 | Cross-Site Request Forgery (CSRF) |
| [13] | 69.3 | CWE-22 | No limitar el acceso al sistema de ficheros a directorios restringidos |
| [14] | 68.5 | CWE-494 | Descarga de código sin chequear la integridad del mismo |
| [15] | 67.8 | CWE-863 | Autorización incorrecta |
| [16] | 66.0 | CWE-829 | Permitir la integración de funcionalidades de fuentes no confiables |
| [17] | 65.5 | CWE-732 | Asignación de permisos incorrecta a recursos críticos |
| [18] | 64.6 | CWE-676 | Uso de funciones potencialmente peligrosas |
| [19] | 64.1 | CWE-327 | User un algoritmo de cifrado que ha sido comprometido o roto |
| [20] | 62.4 | CWE-131 | Cálculo incorrecto del tamaño de memoria |
| [21] | 61.5 | CWE-307 | No restricción a un número de intentos fallidos de acceso |
| [22] | 61.1 | CWE-601 | Redirección URL a sitios no confiables ('Open Redirect') |
| [23] | 61.0 | CWE-134 | Formato de cadena no controlado |
| [24] | 60.3 | CWE-190 | Desbordamiento de enterios |
| [25] | 59.9 | CWE-759 | Aplicar una función hash sin usar la sal |
Aquí tienes toda la información en PDF
Libros
Buscar
Entradas Recientes
- Posts
- Reemplazando la bateria del AirTag
- OpenExpo Europe décima edición, 18 de mayo: El Epicentro de la Innovación y la Transformación Digital
- Docker Init
- Kubernetes para profesionales
- Agenda: OpenExpo Europe 2022 llega el 30 de junio en formato presencial
- Libro 'Manual de la Resilencia', de Alejandro Corletti, toda una referencia para la gestión de la seguridad en nuestros sistemas
- Mujeres hackers en ElevenPaths Radio
- Creando certificados X.509 caducados
- Generador de imágenes Docker para infosec