スポンサーサイト

--年--月--日 --:--

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

CWE/SANS最も危険なプログラミングエラーTOP 25

2009年03月13日 20:49

sansのnewsで見たとき、近いうちに日本語されるだろうと
書いてあったので待ってたら
いつの間にやら日本語のPDFが

http://www.sans.org/top25errors/
http://www.sans.org/top25errors/top25_japanese.pdf

項目が日本語になっただけなので、
どうということはないんだけど、まぁこれを参考にして
ペネトレートテストの確認項目でも見直すか


ちなみにリストは以下だけど、別に真新しいことは特にない。
攻撃者も楽したいだろうから、わざわざ難しいことは考えないよね。
当たり前のことを出来るかどうかでだいぶ変わる
ということを改めて認識しないと。


CWE-20: 不適切な入力の妥当性チェック
CWE-116: 不適切なエンコード、または出力のエスケープ
CWE-89: SQLクエリ構造が保護されない(「SQLインジェクション」)
CWE-79: Webページ構造が保護されない(「クロスサイトスクリプティング」)
CWE-78: OSコマンド構造が保護されない(「OSコマンドインジェクション」)
CWE-319: 機密情報の平文転送
CWE-352: クロスサイトリクエストフォージェリ(CSRF)
CWE-362: 競合状態
CWE-209: エラーメッセージ情報の漏洩
CWE-119: メモリバッファの範囲内での操作が制限されない
CWE-642: クリティカルな状態データの外部制御
CWE-73: ファイル名やパス名の外部制御
CWE-426: 信頼性のない検索パス
CWE-94: コード生成が制御されない(「コードインジェクション」)
CWE-494: 完全性検査なしのコードダウンロード
CWE-404: リソースの不適切なシャットダウンまたはリリース
CWE-665: 不適切な初期化
CWE-682: 計算の誤り
CWE-285: 不適切なアクセス制御 (承認)
CWE-327: 不完全、またはリスキーなアルゴリズムの使用
CWE-259: パスワードのハードコーディング
CWE-732: 重要なリソースに対する安全性の低いアクセス権の割り当て
CWE-330: 不十分なランダム値の使用
CWE-250: 不要な特権による実行
CWE-602: サーバサイドのセキュリティをクライアントサイドで適用

スポンサーサイト


コメント

    コメントの投稿

    (コメント編集・削除に必要)
    (管理者にだけ表示を許可する)

    トラックバック

    この記事のトラックバックURL
    http://skitai.blog98.fc2.com/tb.php/27-da2cbc3c
    この記事へのトラックバック

    -

    管理人の承認後に表示されます



    最近の記事


    上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。