Эксперты назвали 25 самых опасных ошибок программистов

Список содержит ошибки, которые могут раскрыть некоторое количество уязвимых мест в защите, которые и являются целью киберпреступников. Эксперты утверждают, что сами программисты не всегда понимают природу возникновения этих ошибок. Согласно данным SANS Institute, в одном 2008 году только две из перечисленных в списке ошибки привели к взлому 1, 5 млн сайтов.

Агентство ANI отмечает, что специалисты такого уровня впервые собрались вместе для составления списка наиболее опасных ошибок программного кода. В состав экспертной комиссии вошли представители таких известных организаций, как Microsoft, Symantec, Министерство национальной безопасности США (DHS), SANS Institute и MITRE.

"Этот список из 25 пунктов демонстрирует разработчикам программного обеспечения минимальный набор самых распространенных ошибок кодирования от которых надо избавляться на стадии разработки, прежде чем конечный продукт дойдет до потребителя", - заявил в интервью BBC директор по технологиям Veracode Крис Уоспол. В свою очередь, директор SANS Institute Мейсон Браун отметил: "Мы пришли к соглашению касательно программных ошибок. Пришло время их исправлять. Мы должны быть уверены в том, что каждый программист точно знает, как создат ь программный код, исключив все 25 указанных нами ошибок".

Список "25 самых опасных ошибок программного кода":

1. CWE-20:Improper Input Validation
2. CWE-116:Improper Encoding or Escaping of Outpu
3. CWE-89:Failure to Preserve SQL Query Structure
4. CWE-79:Failure to Preserve Web Page Structure
5. CWE-78:Failure to Preserve OS Command Structure
6. CWE-319:Cleartext Transmission of Sensitive Information
7. CWE-352:Cross-Site Request Forgery
8. CWE-362:Race Condition
9. CWE-209:Error Message Information Leak
10. CWE-119:Failure to Constrain Operations within the Bounds of a Memory Buffer
11. CWE-642:External Control of Critical State Data
12. CWE-73:External Control of File Name or Path
13. CWE-426:Untrusted Search Path
14. CWE-94:Failure to Control Generation of Code
15. CWE-494:Download of Code Without Integrity Check
16. CWE-404:Improper Resource Shutdown or Release
17. CWE-665:Improper Initialization
18. CWE-682:Incorrect Calculation
19. CWE-285:Improper Access Control
20. CWE-327:Use of a Broken or Risky Cryptographic Algorithm
21. CWE-259:Hard-Coded Password
22. CWE-732:Insecure Permission Assignment for Critical Resource
23. CWE-330:Use of Insufficiently Random Values
24. CWE-250:Execution with Unnecessary Privileges
25. CWE-602:Client-Side Enforcement of Server-Side Security