Novacreations

Desarollando Software

Los 25 errores de programación mas peligrosos

cwebanner.jpg

CWE/SANS nos ofrece la lista de los 25 errores de programación mas peligrosos que pueden provocar serias vulnerabilidades en nuestro software. Ocurren frecuentemente, se encuentran fácilmente y se pueden explotar sin problemas.Estas vulnerabilidades pueden provocar acceso a nuestros sistemas, robo de información o baja en el servicio.
El objetivo es educar a los programadores a eliminar estos errores comunes para ofrecer software con mayor calidad y seguridad. Les recomiendo leerlo a detalle y tenerlo como referencia.

http://cwe.mitre.org/top25/


Cada uno de los puntos cuenta con información muy detallada incluyendo descripción detallada, parámetros, ejemplos, mitigadores y mucha otra información. Esto nos permite no solamente conocer a detalle la vulnerabilidad sino que nos permite justificar su importancia e impacto.

Interacción insegura entre componentes.

1. Validación incorrecta de datos.
2. Manejo incorrecto de la salida de datos.
3. Falla de mantener la estructura de un Query SQL (Sql Injection).
4. Falla al preservar la estructura de la página web (XSS)
5. Falla en mantener la estructura de los comandos del Sistema Operativo
6. Transmisión de información en texto entre componentes en la red.
7. Manipulación de la identidad del usuario, Cross-Site Request Forgery (CSRF)
8. Manipulación de un proceso para afectar los demás procesos corriendo.
9. Filtrar información en mensajes de error.

Administración de recursos riesgosa.

10. Errores de sobrecarga del buffer de la memoria.
11. Manipulación de información sobre el estado de una sesión
12. Control externo en el nombre de archivos o dirección.
13. Manipulación del Path
14. Fallas de control al momento de generar código
15. Descarga de código sin comprobación de integridad
16. Manejo incorrecto de liberación de recursos
17. Inicialización incorrecta de datos
18. Cálculos incorrectos

Fallas en las defensas existentes

19. Falla en la Autorización
20. Usar un algoritmo de encriptación con fallas o débil.
21. Contraseñas “Hard-Codeadas”
22. Asignación insegura de permisos para el acceso de recursos críticos
23. Uso de valores aleatorios insuficientes
24. Ejecución con privilegios insuficientes
25. Comprobar la seguridad solamente en el cliente.

Al finalizar denle una checada a la página del CWE (Common Weakness Enumeration) ya que contiene muchos recursos útiles sobre vulnerabilidades.




Subscribe to email feed



La fábrica de softw

La Fábrica de Software de la Dirección de Innovación y ...

Administradores de A

Durante años aplicación ES File Explorer era la mejor y ...

Apoyo del Conacyt a

El Consejo Nacional de Ciencia y Tecnología (Conacyt), como parte ...

Microsoft Surface St

Esta semana Microsoft anuncio la existencia de su nueva PC ...

Incuba tu proyecto c

¡Buscamos nuevas tecnologías! Si tu proyecto es seleccionado Telcel te otorgará ...

Las 10 funciones de

  Java 8 incluye nueva funcionalidad que nos permite tener un ...

Como usar una funci

Usar una función hash para encriptar una contraseña no es ...

Cómo escribir códi

Nunca supongas a la malicia lo que puede ser explicado ...

Las 114 preguntas de

¿Tienes una entrevista de trabajo en puerta para un posición Java? ...

Believe in technolog

Ziff Davis Publishing es la más grande editorial de contenidos ...