Login
Login-Name Passwort


 
Newsletter
Werbung

Fr, 1. Juli 2011, 11:21

Software::Entwicklung

Aktualisierte Top 25 der Sicherheitsfehler

Die Organisationen CWE und SANS haben die aktualisierte Liste der häufigsten Programmierfehler, die zu Sicherheitslücken führen, vorgestellt. Für die größten Risiken in Web- und anderen Anwendungen sorgen demnach vergessene Bereinigungen von Benutzereingaben in SQL-Abfragen und externen Programmaufrufen.

Die US-amerikanische Forschungsorganisation MITRE und das SANS-Institut erstellen seit einigen Jahren eine Liste der 25 wichtigsten sicherheitsrelevanten Programmierfehler. Das jetzt vorgelegte Update für das Jahr 2011 nimmt nach Angaben der Ersteller Verbesserungen gegenüber der letztjährigen Liste vor, behält aber den bisherigen Geist und die Ziele bei. Die Daten, die zur Bewertung der Programmierfehler führten, wurden der Common Weakness Enumeration (CWE) des MITRE und den Top 20 der Angriffswege von SANS entnommen.

Die Liste wendet sich an Programmierer, Projektleiter und Ausbilder sowie an Anwender, die von ihren Herstellern sicherere Software fordern sollten. Es werden zu jedem Punkt technische Einzelheiten, Beispiele und Erkennungsmöglichkeiten gegeben.

Die ersten zehn Sicherheitsprobleme in der Rangliste sind:

  1. Ausführen von beliebigen Kommandos über SQL Injection
  2. Ausführen von beliebigen Kommandos über externe Kommandoaufrufe mit Parametern
  3. Pufferüberläufe
  4. Cross-site Scripting
  5. Fehlende Authentifikation für kritische Funktionen
  6. Fehlende Berechtigungsprüfung
  7. Verwendung von fest einprogrammierten Passwörtern oder Schlüsseln
  8. Keine Verschlüsselung von vertraulichen Daten
  9. Uneingeschränktes Hochladen von Dateien von gefährlichem Typ
  10. Verwendung von nicht vertrauenswürdigen Eingaben in sicherheitsrelevanten Entscheidungen

MITRE ist eine US-amerikanische Forschungsorganisation, die sich allgemein mit Technologie und Sicherheit befasst. Das SANS-Institut forscht, zertifiziert und schult im Bereich der Informations-Sicherheit. Viele Informationen der 1989 gegründeten Organisation sind frei verfügbar.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung