博彩公司反套利机制:最危险的25个编程错误

来源:百度文库 编辑:四海新闻网 时间:2019/11/16 00:20:52
2011年最危险的25个编程错误摘自:http://cwe.mitre.org/top25/#CWE-190
1]93.8CWE-89Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')[2]83.3CWE-78Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')[3]79.0CWE-120Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')[4]77.7CWE-79Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')[5]76.9CWE-306Missing Authentication for Critical Function[6]76.8CWE-862Missing Authorization[7]75.0CWE-798Use of Hard-coded Credentials[8]75.0CWE-311Missing Encryption of Sensitive Data[9]74.0CWE-434Unrestricted Upload of File with Dangerous Type[10]73.8CWE-807Reliance on Untrusted Inputs in a Security Decision[11]73.1CWE-250Execution with Unnecessary Privileges[12]70.1CWE-352Cross-Site Request Forgery (CSRF)[13]69.3CWE-22Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')[14]68.5CWE-494Download of Code Without Integrity Check[15]67.8CWE-863Incorrect Authorization[16]66.0CWE-829Inclusion of Functionality from Untrusted Control Sphere[17]65.5CWE-732Incorrect Permission Assignment for Critical Resource[18]64.6CWE-676Use of Potentially Dangerous Function[19]64.1CWE-327Use of a Broken or Risky Cryptographic Algorithm[20]62.4CWE-131Incorrect Calculation of Buffer Size[21]61.5CWE-307Improper Restriction of Excessive Authentication Attempts[22]61.1CWE-601URL Redirection to Untrusted Site ('Open Redirect')[23]61.0CWE-134Uncontrolled Format String[24]60.3CWE-190Integer Overflow or Wraparound[25]59.9CWE-759Use of a One-Way Hash without a Salt
------------------------------------------------------------------------------------------------2010年最危险的25个编程错误------------------------------------------------------------------------------------------------1. 跨站点脚本攻击(4) 
2. SQL注入(3) 
3. 经典缓冲区溢出(1) 
4. 跨站点请求伪造(7) 
5. 不正确的访问控制(授权) 
6. 在安全决策中依赖不可信的输入 
7. 不正确地将路径名限制为受限路径 
8. 上传危险类型的文件不受限 
9. 操作系统命令中特殊因素的处理不正确(操作系统命令注入)(5) 
10. 敏感信息未加密(6) 
11. 使用硬编码凭据(21) 
12. 以不正确的长度值访问缓冲区 
13. PHP程序中Include/Require语句文件名控制不正确(PHP文件侵入) 
14. 数组下标验证不正确 
15. 异常条件检查不正确 
16. 错误消息泄露信息(9) 
17. 整数溢出 
18. 缓冲区大小计算错误 
19. 关键函数缺乏身份验证 
20. 下载未经完整性检查的代码(15) 
21. 对关键资源的错误权限分配(22) 
22. 资源分配没有限制 
23. URL重导向到不受信的资源 
24. 使用被破解或有风险的加密算法(20) 
25. 存在竞争情况(Race condition)(8) 
其中后加括号有数字的,是该项错误去年的排名。显然,连续两年都入选的错误,千万不要再犯了。 
另外,我们对比了去年前25名名单,列出今年落榜的错误如下,相信这些错误仍然具有相当的风险性。 
2. 不正确的编码或转义输出 
10. 限定缓冲区内操作失败 
11. 外部控制重要状态数据 
12. 外部控制文件名或路径 
13. 不可信搜索路径 
14. 控制代码生成错误(代码注入) 
15. 错误的资源关闭或发布 
17. 不正确的初始化 
18. 错误计算 
19. 可渗透防护 
23. 随机值的错误利用 
24. 滥用特权操作 
25. 客户端执行服务器端安全