25 اشتباه خطرناک برنامه نویسی

ترجمه و بازنویسی : بابک فخریلو

خوانندگان گرامی مقاله زیر تنها خلاصه ای از 25 اشتباه خطرناک برنامه نویسی است،برای خواندن مقاله اصلی به انتهای مطلب رفته و روی پیوند منبع کلیک کنید.

مقدمه

25 اشتباه خطرناک برنامه نویسی CWE/SANS در سال 2010،فهرستی از شایع ترین و خطرناک ترین خطا های برنامه نویسی است که می تواند منجر به بروز آسیب پذیرهای جدی در نرم افزار شود.غالبا پیدا کردن و سو استفاده از آنها ساده است.این اشتباه ها خطرناک هستند،چرا که به طور مداوم به مهاجمان اجازه می دهند تا کاملا به نرم افزار مسلط شوند،داده ها را سرق کنند یا این که به کلی مانع اجرای نرم افزار شوند.

این فهرست به عنوان ابزاری است برای آموزش و آگاه سازی ،که برنامه نویسان کمک می کند تا با شناسایی و ممانعت از  اشتباهات رایج که حتی پیش از ارائه نرم افزار رخ می دهند،از انواع آسیب پذیری ها که می توانند صنعت نرم افزار را به دردسر بیاندازند،جلوگیری کنند.مشتریان نرم افزار می توانند با مراجعه به این لیست درخواست امنیت بیشتری را از ارائه دهنده آن نرم افزار داشته باشند.محققان امنیت نرم افزار می توانند از لیست استفاده کنند تا تمرکز دقیق تری روی امنیت داشته باشد.و در نهایت مدیران نرم افزار و CIO ها می توانند در فرآیند تلاش خود برای امن تر کردن برنامه ، معیاری را با استفاده از این فهرست داشته باشند.

این فهرست حاصل همکاری میان SANS Institute ، MITRE و بسیاری از خبرگان امنیت نرم افزار در آمریکا و اروپا است.برای اطلاعات بیشتر درباره این دو موسسه به می توانید به سایت های http://www.sans.org/top20/ و http://cwe.mitre.org مراجعه کنید.

لیست 25 تایی سال 2010 نسبت به سال 2009 پیشرفت جزئی داشته است،اما روح و هدف همانند قبل است.ساختار فهرست طوری تغییر یافته تا اصول کلی برنامه نویسی امن را از صعف های به هم پیوسته جدا کند.موارد فهرست امسال با استفاده از ورودی های بیش از 20 سازمان متفاوت،که هرکدام از ضعف ها را بر پایه نفوذ و اهیمت بررسی کرده اند،ارجحیت بندی شده است.نسخه جدید با معرفی focus profiles،به توسعه دهندگان و کاربران این امکان را می دهد تا بخش هایی از این فهرست 25 موردی را انتخاب کنند که به کار خودشان ارتباط دارد.

فهرستی خلاصه از 25 خطای عمده برنامه نویسی

برای کسب اطلاعات بیشتر درباره خطای مورد نظر خود،روی پیوند شناسه آن کلیک کنید.

رتبه امتیاز شناسه عنوان
1 346 CWE-79 خطا در نگهداشت ساختار صفحه وب (‹Cross-site Scripting›)
2 330 CWE-89 ایزوله اشتباه عناصر خاص دستورهای SQL (‹SQL Injection›)
3 273 CWE-120 کپی کردن به Buffer بدون آگاهی از سایز ورودی (‹Classic Buffer Overflow›)
4 261 CWE-352 جعل درخواست حمله Cross-Site
5 219 CWE-285 کنترل اشتباه دسترسی (Authorization)
6 202 CWE-807 اعتماد به ورودی های غیرمعتبر در تصمیم گیری های امنیتی
7 197 CWE-22 محدود سازی اشتباه نام مسیر به پوشه با دسترسی محدود(‹Path Traversal›)
8 194 CWE-434 محدود نکردن Upload فایل با پسوند خطرناک
9 188 CWE-78 ایزوله اشتباه عناصر خاص دستورهای OS (‹OS Command Injection›)
10 188 CWE-311 فراموش کردن درهم سازی داده های حساس
11 176 CWE-798 استفاده از اعتبارنامه هایی که کد نویسی پیچیده ای دارند
12 158 CWE-805 دسترسی به Buffer با طول ناصحیح مقدار
13 157 CWE-98 کنترل دسترسی اشتباه به نام فایل برای دستور Include/Require در PHP
14 156 CWE-129 اعتبارسنجی نادرست اندیس آرایه
15 155 CWE-754 بررسی اشتباه وضعیت های استثنایی یا غیر عادی
16 154 CWE-209 فاش سازی اطلاعات از طریق پیغام خطا
17 154 CWE-190 سرریز عدد صحیح
18 153 CWE-131 محاسبه اشتباه اندازه Buffer
19 147 CWE-306 فراموش کردن اعتبار سنجی هویت برای عملکردی مهم
20 146 CWE-494 دانلود کد بدون بررسی یکپارچگی
21 145 CWE-732 انتساب اشتباه دسترسی به منبع حیاتی
22 145 CWE-770 تخصیص منابع بدون محدود سازی
23 142 CWE-601 Redirect شدن به سایتی غیر معتبر (‹Open Redirect›)
24 141 CWE-327 استفاده از الگوریتم رمزنگاری خطرپذیر یا ناقص
25 138 CWE-362 Race Condition -حالت نامعينى که به هنگام عملکرد همزمان د دستورالعملهاى دو کامپيوتر بوجود مى ايد و امکان شناخت اين مسئله که کدام يک از انها ابتدا تمام خواهند شد وجود ندارد

Cross-site scripting و SQL injection به ترتیب اولین و دومین ضعف های امنیتی مهم سال 2010 بودند.برای برنامه هایی که از بانک های داده استفاده می کنند، SQL injection می تواند خطر بزرگی باشد.سومین ضعف امنیتی classic buffer overflow بود.

منبع:

http://cwe.mitre.org/top25/#CWE-362

Advertisements

دربارهٔ Persian Developer

I Love Developing applications

Posted on فوریه 19, 2010, in نرم افزار and tagged , , . Bookmark the permalink. 5 دیدگاه.

  1. سلام استاد حالا کارت انقدر درست شده که ایرادهای برنامه کار درست میگیری…کوتاه بیا

  2. علی آقا نیستی ؟ جواب اس ام اس نمیدی !؟!!

  3. ما کوچکتیم استاد ما کی باشیم که جواب شما رو ندیم….

  4. علی چیا برداشتی این ترم ؟

  5. نظریه.زبان ماشین.فیزیک 2.مدار.زبان تخصصی

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: