Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • CWE-SANS Top25 Software Error

    Загружено:

    agarciascz
    115 просмотров1 страница

    Авторское право

    © Attribution Non-Commercial (BY-NC)

    Доступные форматы

    XLSX, PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате XLSX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    115 просмотров1 страница

    CWE-SANS Top25 Software Error

    Загружено:

    agarciascz

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате XLSX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 1

    2011 CWE/SANS Top 25 Most Dangerous Software Errors

    Categoria # 1 2 4 9 12 22 CWE ID CWE-89 CWE-78 CWE-79 CWE-434 CWE-352 CWE-601

    Interaccin insegura entre componentes


    Nombre de la Vulnerabilidad
    Neutralizacin inadecuada de los elementos especiales que se utilizan en un comando SQL ('SQL Injection') Neutralizacin inadecuada de los elementos especiales que se utilizan en un comando del sistema operativo ("inyeccin de comandos OS ') Neutralizacin incorrecta de la entrada durante la generacin de la pgina Web ("Cross-site Scripting) Subir archivos con restricciones de tipo peligroso Cross-Site Solicitud Falsificacin (CSRF) URL de redireccin a un sitio no es de confianza ("Open Redirect ')

    Estas deficiencias estn relacionadas con formas de inseguridad en que los datos son enviados y recibidos entre los componentes por separado, mdulos, programas, procesos, hilos o sistemas.

    Puntuacin
    93.8

    Prevalencia de la Debilidad
    High

    Consecuencias
    Data loss, Security bypass

    Costo de la Remediacin
    Low

    Facilidad de Deteccin
    Easy

    Frecuencia de Ataque
    Often

    Conciencia del Atacante


    High

    83.3 77.7 74.0 70.1 61.1

    Medium High Common High High

    Code execution Code execution, Security bypass Code execution Data loss, Code execution Code execution, Data loss, Denial of service

    Medium Low Medium High Medium

    Easy Easy Moderate Moderate Easy

    Often Often Sometimes Often Sometimes

    High High Medium Medium Medium

    Categoria # 3 13 14 16 18 20 23 24 CWE ID CWE-120 CWE-22 CWE-494

    Gestin de los Recursos de riesgo


    Nombre de la Vulnerabilidad
    Tamao de bfer Copia sin comprobacin de entrada ("Desbordamiento de bfer Classic ') Limitacin impropio de una ruta a un directorio restringido ("Path Traversal")

    Las debilidades en esta categora estn relacionadas con las formas en que el software no maneja correctamente la creacin, uso, transferencia o destruccin de los recursos importantes del sistema.

    Puntuacin

    Prevalencia de la Debilidad

    Consecuencias
    Code execution, Denial of service, Data loss Code execution, Data loss, Denial of service

    Costo de la Remediacin

    Facilidad de Deteccin

    Frecuencia de Ataque

    Conciencia del Atacante

    79.0

    High

    Low

    Easy

    Often

    High

    69.3

    Widespread

    Low

    Easy

    Often

    High

    Descarga de cdigo sin control de integridad

    68.5

    Medium

    Code execution

    Medium to High

    Moderate

    Rarely

    Low

    CWE-829
    La inclusin de la funcionalidad de la esfera de control que no se confa 66.0 High Security bypass Low to Medium Moderate Often High

    CWE-676
    El uso de la funcin potencialmente peligrosos 64.6 High Data loss, Code execution Code execution, Denial of service, Data loss Medium Easy Easy to Moderate Rarely High

    CWE-131
    Clculo incorrecto del tamao del buffer 62.4 High

    Low

    Often

    High

    CWE-134
    Cadena de formato no controlado 61.0 Denial of service, Code execution, Data loss

    CWE-190
    De desbordamiento de enteros o Wraparound 60.3 Common

    Low

    Easy

    Sometimes

    High

    Categoria # 5 6 7 8 10 11 15 17 19 21 25 CWE ID
    CWE-306 CWE-862 CWE-798 CWE-311 CWE-807 CWE-250 CWE-863 CWE-732 CWE-327 CWE-307 CWE-759

    Defensa Porosa
    Nombre de la Vulnerabilidad
    Autenticacin de falta de funcin crtica Falta de autorizacin El uso de hard-coded de Credenciales Falta de cifrado de datos confidenciales Dependencia de insumos que no se confa en una decisin de seguridad Ejecucin con privilegios innecesarios Autorizacin incorrecta Asignacin de permisos incorrectos para recursos crticos El uso de un algoritmo criptogrfico rotos o riesgosos Restriccin indebida de los intentos de autenticacin excesivos El uso de un hash unidireccional sin sal

    Las debilidades en esta categora estn relacionadas con las tcnicas de defensa que a menudo son utilizados incorrectamente, o simplemente ignoradas simple.

    Puntuacin
    76.9 76.8 75.0 75.0 73.8 73.1 67.8 65.5 64.1 61.5 59.9

    Prevalencia de la Debilidad
    Common High Medium High High Medium High Medium High

    Consecuencias
    Security bypass Security bypass Security bypass Data loss Security bypass Code execution Security bypass Data loss, Code execution Data loss, Security bypass

    Costo de la Remediacin
    Low to High Low to Medium Medium to High Medium Medium Medium Low to Medium Low to High Medium to High

    Facilidad de Deteccin
    Moderate Moderate Moderate Easy Moderate Moderate Moderate Easy Moderate

    Frecuencia de Ataque
    Sometimes Often Rarely Sometimes Often Sometimes Often Often Rarely

    Conciencia del Atacante


    High High High High High High High High Medium

    Medium

    Security bypass

    Medium to High

    Moderate

    Rarely

    High

    http://cwe.mitre.org/ CWE (Common Weakness Enumeration) junto con SANS publican un estudio donde se catalogan los 25 errores ms peligrosos cometidos a la hora de desarrollar software http://www.sans.org/top25-software-errors/ El Instituto SANS (SysAdmin Audit, Networking and Security Institute) 2011 CWE/SANS Top 25 Most Dangerous Software Errors

    Вам также может понравиться