TOP 25

    Los 25 errores más peligrosos del software según CWE/SANS 2011

    Selection_001.png

    Como el título indica, esta es la lista que este año han creado CWE/SANS sobre los errores más peligrosos que cometemos los programadores en este año 2011.

    Pos Punt ID Descripción
    [1] 93.8 CWE-89 No filtrar propiamente las sentencias SQL (Inyección SQL)
    [2] 83.3 CWE-78 No filtrar las llamadas al sistema de forma adecuada (Inyección en comandos del SO)
    [3] 79.0 CWE-120 No chequear el tamaño de la memoria reservada a la hora de copiar datos (desbordamiento de memoria)
    [4] 77.7 CWE-79 No detectar la inyección de scripting (XSS)
    [5] 76.9 CWE-306 No autentificar en llamada a funciones críticas
    [6] 76.8 CWE-862 No autorización
    [7] 75.0 CWE-798 Usar credenciales estáticos en el código
    [8] 75.0 CWE-311 No cifrado de datos sensibles
    [9] 74.0 CWE-434 No restringir la subida de ficheros a ciertos formatos
    [10] 73.8 CWE-807 Confiar en una fuente de datos no confiable a la hora de tomar una decisión de seguridad
    [11] 73.1 CWE-250 Ejecución con privilegios innecesarios
    [12] 70.1 CWE-352 Cross-Site Request Forgery (CSRF)
    [13] 69.3 CWE-22 No limitar el acceso al sistema de ficheros a directorios restringidos
    [14] 68.5 CWE-494 Descarga de código sin chequear la integridad del mismo
    [15] 67.8 CWE-863 Autorización incorrecta
    [16] 66.0 CWE-829 Permitir la integración de funcionalidades de fuentes no confiables
    [17] 65.5 CWE-732 Asignación de permisos incorrecta a recursos críticos
    [18] 64.6 CWE-676 Uso de funciones potencialmente peligrosas
    [19] 64.1 CWE-327 User un algoritmo de cifrado que ha sido comprometido o roto
    [20] 62.4 CWE-131 Cálculo incorrecto del tamaño de memoria
    [21] 61.5 CWE-307 No restricción a un número de intentos fallidos de acceso
    [22] 61.1 CWE-601 Redirección URL a sitios no confiables ('Open Redirect')
    [23] 61.0 CWE-134 Formato de cadena no controlado
    [24] 60.3 CWE-190 Desbordamiento de enterios
    [25] 59.9 CWE-759 Aplicar una función hash sin usar la sal

    Aquí tienes toda la información en PDF

    Jul 9, 2011
    SeguridadProgramación

    Top 25 errores de programación más peligrosos

    programming.jpg 

    Extenso y muy interesante artículo (en inglés) en el que se generalizan los errores más peligrosos a la hora de programar.

    En él aparece una lista dividida en 3 categorías:

    Interacción insegura entre componentes (9 errores)

    Uso o control de recursos peligrosos (9 errores)

    Defensas porosas (7 errores)

    Cada uno está muy bien documentado, además los creadores de esta lista son realmente personajes importantes en el mundo de la programación, mira algunos de ellos:

    Jan 14, 2009
    Recursos InformáticaProgramación