498)this.w
idth=498;' onmousewheel = 'javascript:return big(this)' alt="" src="http://images.51cto.com/files/uploadimg/20100223/0931390.peg" width=500>历史上第一个bug网络无处不在的今天,安全问题日益严峻,攻击事件层出不穷,应该说,软件系统中代码存在安全漏洞是主要的祸因之一。而这实际上反映了软件开发人员在编程的安全性方面缺乏必要的培训和常识。由CWS(美国国土安全部下属的软件保证项目)与SANS(权威安全培训组织)联合编制的最危险的25个编程错误,是软件开发人员非常好的快速学习资料。日前,两个机构发布了2010年的编程错误列表。最
新的25个最危险的编程错误
如下。1. 跨站点脚本攻击(4)2. SQL注入(3)3. 经典缓冲区溢出(1)4. 跨站点请求伪造(7)5. 不正确的访问控制(授权)6. 在安全决策中依赖不可信的输入7. 不正确地将路径名限制为受限路径8. 上传危险类型的文件不受限9. 操作系统命令中特殊因素的处理不正确(操作系统命令注入)(5)10. 敏感信息未加密(6)11. 使用硬编码凭据(21)12. 以不正确的长度值访问缓冲区13. PHP程序中Include/Require语句文件名控制不正确(PHP文件侵入)14. 数组下标验证不正确15. 异常条件检查不正确16. 错误消息泄露信息(9)17. 整数溢出18. 缓冲区大小计算错误19. 关键函数缺乏身份验证20. 下载未经
完整性检查的代码(15)21. 对关键资源的错误权限分配(22)22. 资源分配没有限制23. URL重导向到不受信的资源24. 使用被破解或有风险的加密算法(20)25. 存在竞争情况(Race condition)(8)其中后加括号有数字的,是该项错误去年的排名。显然,连续两年都入选的错误,千万不要再犯了。另外,我们对比了去年前25名名单,列出今年落榜的错误如下,相信这些错误仍然具有相当的风险性。2. 不正确的编码或转义输出10. 限定缓冲区内操作失败11. 外部控制重要状态数据12. 外部控制文件名或路径13. 不可信搜索路径14. 控制代码生成错误(代码注入)15. 错误的资源关闭或发布17. 不正确的初始化18. 错误计算19. 可渗透防护23. 随机值的错误利用24. 滥用特权操作25. 客户端执行
服务器端安全推荐大家下载并仔细研读完整的报告,有条件的可以组织开发团队和公司集中学习。这个报告相对枯燥了一些,如果你对哪些错误有比较直观的一看就懂的示例或者解释,欢迎在下面回复,或者与我们联系。
2010最容易导致安全问题的编程错误
时间: 2024-10-24 15:54:10
2010最容易导致安全问题的编程错误的相关文章
erlang otp-erlang 服务器端编程 错误提示 variable 'State' is unbound
问题描述 erlang 服务器端编程 错误提示 variable 'State' is unbound -module(gen_server_template). %% gen_server_template -behaviour(gen_server). -export([start_link/0]). %% gen_server callbacks -export([init/1, handle_call/3, handle_cast/2, handle_info/2, terminate/
使用DrMemory发现内存编程错误
Dr Memory 简介 Dr. Memory 是一个开源免 费的内存检测工具,它能够及时发现内存相关的编程错误,比如未初始化访问.内存非法访 问以及内存泄露等.它不仅能够在 Linux 下面工作,也能在微软的 Windows 操作系统上工作.不过,本文撰写时,DrMemory 仅能支持 32 位程序,这是它的一个巨大缺 陷,但相信随着开发的进行,DrMemory 会推出支持 64 位程序的版本. Dr Memory 与 Valgrind 类似,可以直接检查已经编译好的可执行文件.用户不用
ios调用外部SDK后导致的屏幕旋转错误
问题描述 ios调用外部SDK后导致的屏幕旋转错误 程序是用C++写的跨平台横屏游戏,渲染引擎是opengl那套,IOS版添加友盟分享的SDK时,进入友盟封装的界面,游戏就变竖屏了,并且IOS6以下版本没有这个问题. IOS6以上版本是通过UIViewController控制,IOS5以下版本通过AddSubview方式添加view. 友盟的第一个界面是UINavigationController 解决方案 应该还是哪里没整对,第一个view controller 最好是UINavigation
gcc-在GCC上的C语言编程错误问题
问题描述 在GCC上的C语言编程错误问题 #include #include #include struct LinkList { int data; struct LinkList next; }; struct LinkList Reverse ( LinkList *list ) *出错** { LNode *tmp = NULL; LNode *p = NULL; if (list == NULL) { return NULL; } tmp = list->next; while (tm
excel-EXCEL 宏文件更改宏的选项,ACV文件没有更改,会导致宏文件的错误吗
问题描述 EXCEL 宏文件更改宏的选项,ACV文件没有更改,会导致宏文件的错误吗 5C EXCEL 宏文件更改宏的选项,ACV文件没有更改,会导致宏文件的错误吗.我是用VB在EXCEL编写的宏文件,现在对宏的选项做了更改,而SCV文件没有更新,贵不贵造成宏文件无法运行的现象啊.现在就是我的宏文件无法工作,找不到原因了. 解决方案 建议你直接在vb里调用vba函数来实现,比用宏方便 解决方案二: 这个已经成为一种规格了 ,暂时改变不了啊 .现在的问题就是我的程序没有问题,只是改变了宏的选项,程序
vs2005-Microsoft Visual Studio 2005 UNIERP编程错误
问题描述 Microsoft Visual Studio 2005 UNIERP编程错误 我刚下载完成 VS2005进行UNIERP编程.. 可是 design页面显示Source不显示图片. 请参考图片..
图片-MFC编程错误;must have class/struct/union type
问题描述 MFC编程错误:must have class/struct/union type 应该如何解决,求大神赐教! 解决方案 left of '->GetStatus' must point to class/struct/union/generic type 解决方案二: 对话框定义的头文件包含了没有
visual studio 2010中创建测试项目时发生错误
问题描述 visual studio 2010中创建测试项目时发生错误 十分感谢! 解决方案 VC++的单元测试?你的VS2010最好打上SP1.我记得VS2010对VC++的Unit Test支持有问题. 解决方案二: 没安装壕吧,修复一下 .
java网络编程错误java.net.ConnectException: Connection refused: connect求教
问题描述 java网络编程错误java.net.ConnectException: Connection refused: connect求教 刚开始学习java网络编程,在书上看到一段代码,就动手试一下,结果出现下面错误: java.net.ConnectException: Connection refused: connect 源代码如下: import java.io.*; import java.net.*; class lx01 { public static void main(S