大多數IT安全事件(如補丁程序或網絡攻擊等)都與軟件編程錯誤有關,在過去的三年中,非贏利調研機構MITRE和美國系統網絡安全協會(SANSInstitute)發現了700多處常見的軟件編程錯誤,經過安全專家的篩選,最終於週一公佈了以下25大軟件編程錯誤:
1. 錯誤的輸入驗證
2. 不正確的編碼或轉義輸出
3. 維持SQL查詢結構(SQL注入)錯誤
4. 維持網頁結構(跨站點腳本)錯誤
5. 維持操作系統命令結果(操作系統命令注入)錯誤
6. 明文傳送敏感信息
7. 跨站點請求僞造
8. 資源競爭(Race condition)
9. 錯誤信息泄露
10. 限定緩衝區內操作失敗
11. 外部控制重要狀態數據
12. 外部控制文件名或路徑
14. 不可信搜索路徑
15. 控制代碼生成錯誤(代碼注入)
15. 下載未經完整性檢查的代碼
16. 錯誤的資源關閉或發佈
17. 不正確的初始化
18. 錯誤計算
19. 可滲透防護
20. 使用被破解的加密算法
21. 硬編碼密碼
22. 對核心資源的錯誤權限分配
23. 隨機值的錯誤利用
24. 濫用特權操作
25. 客戶端執行服務器端安全
