- Donnerstag, Februar 18, 2010, 12:48
- 0 Kommentare
Liste der 25 gefährlichsten Software -und Programmierfehler veröffentlicht
Die Common Weakness Enumeration (CWE) hat unter cwe.mitre.org eine Liste der gefährlichsten Software Fehler des Jahres 2010 zusammengestellt.
Bug klingt verharmlosend, denn häufig können Softwarefehler schwerwiegende Folgen haben. Ob das Wort „Bug“ übrigens tatsächlich auf einen Käfer zurückzuführen ist, gilt nicht als sicher. Bereits Thomas Edison bezeichnete im 19. Jahrhundert kleine Störungen bei seiner Arbeit als „Bugs“.
Die Liste umfasst die 25 gefährlichsten Software Fehler. Häufig sind die Fehler leicht zu finden und sogar zu beheben und doch ermöglichen sie Hackern teilweise Eingriffe, die irreparablen Schaden zufügen können. Die Liste soll dabei helfen bekannte Fehler zu vermeiden und so Fremdeingriffe zu verhindern. Sie richtet sich an unterschiedliche Zielgruppen, die alle mit dem Thema Software-Entwicklung in Berührung kommen.
Auch Kunden kann die Liste helfen, in dem Sie die Sicherheit von Software hinterfragen lernen. Die Liste wurde gemeinsam vom SANS Institute, MITRE und vielen Software Experten in den USA und Europa entwickelt. Unterstützt wird das Vorhaben durch das US Department of Homeland Security’s National Cyber Security Division. Bereits im Vorjahr gab es eine vergleichbare Liste. Viel hat sich seitdem nicht geändert.
Auch in diesem Jahr sind viele Software Fehler dabei, die teils katastrophale Auswirkungen verursachen und dennoch sehr leicht zu umgehen wären. Wünschenswert wären daher eine Software-Ethik und eine Software-Verantwortung, der Produzenten von Software verpflichtet sind. Häufig sind die Kunden die Leidtragenden und tragen die Konsequenzen daher alleine.
Die Fehler sind in unterschiedliche Kategorien gegliedert, darunter: Unsichere Interaktionen von verschiedenen Komponenten, riskantes Ressourcenmanagement und schwache Absicherung.
| Rank | Name |
|---|---|
| 1 | Cross-site Scripting |
| 2 | SQL Injection |
| 3 | Classic Buffer Overflow |
| 4 | Cross-Site Request Forgery (CSRF) |
| 5 | Improper Access Control (Authorization) |
| 6 | Reliance on Untrusted Inputs in a Security Decision |
| 7 | Improper Limitation of a Pathname to a Restricted Directory (’Path Traversal’) |
| 8 | Unrestricted Upload of File with Dangerous Type |
| 9 | Improper Sanitization of Special Elements used in an OS Command (’OS Command Injection’) |
| 10 | Missing Encryption of Sensitive Data |
| 11 | Use of Hard-coded Credentials |
| 12 | Buffer Access with Incorrect Length Value |
| 13 | PHP File Inclusion |
| 14 | Improper Validation of Array Index |
| 15 | Improper Check for Unusual or Exceptional Conditions |
| 16 | Information Exposure Through an Error Message |
| 17 | Integer Overflow or Wraparound |
| 18 | Incorrect Calculation of Buffer Size |
| 19 | Missing Authentication for Critical Function |
| 20 | Download of Code Without Integrity Check |
| 21 | Incorrect Permission Assignment for Critical Resource |
| 22 | Allocation of Resources Without Limits or Throttling |
| 23 | Offener URL Redirection to Untrusted Site (’Open Redirect’) |
| 24 | Use of a Broken or Risky Cryptographic Algorithm |
| 25 | Race Condition |
