25种最危险的编程错误_A BLOG of Stuffs_百度空间企业库|免费b2b网站

25种最危险的编程错误_A BLOG of Stuffs_百度空间

语言的弱点

C/C++	Java	PHP	Perl	CWE 条目
高	一般	高	高	: 不当地将路径名限制为受限的目录（路径穿透）
				与语言无关，但是一般是在模拟环境中存在
高	一般	高	高	: 对OS命令中使用的特定元素处理不当（操作系统命令注入）
一般	高	高	高	: 网页架构保持失败 (跨平台脚本攻击)
高	高	高	高	: 对SQL命令中使用的特定元素处理不当（SQL注入）
		高		: 在PHP程序中，对Include/Require声明的文件名控制不当（PHP文件包含漏洞）
				从技术上来说这种问题会在大多数解释型语言中发生，但似乎在PHP中最为流行
高	有限	有限	有限	: 在没有检测输入大小的情况下就对缓冲区进行复制（经典的缓冲区溢出）
				解释器和本地代码通常是使用C/C++创建的，当我们可以使用更高级别的语言对其进行操作时，就很容易受到缓冲区溢出的影响，否则就显得比较“安全”。
高	有限	有限	有限	: 对数组索引验证不当
				从技术上来说，这在很多不同的语言中都会发生，但是在C/C++程序中最容易导致安全问题。
高	有限	有限	有限	: 对缓冲区大小计算错误
				当更简单的缓冲区溢出情况被排除的时候，这个问题就会出现。解释器和本地代码通常是使用C/C++创建的，当我们可以使用更高级别的语言对其进行操作时，就很容易受到缓冲区溢出的影响，否则就显得比较“安全”。
高	有限	有限	有限	: 整型溢出和环绕
				从技术上来说这可能会在多种不同语言中出现，但是在C/C++程序中最容易导致安全问题。
高	高	高	一般	: 通过错误消息透漏信息
				这与语言无关，但经常会出现在基于Web的环境，或是出现在在外部自动执行错误报告的语言中。
高	高	高	高	: 不当的访问控制（授权）
一般	一般	一般	一般	: 对重要的资源赋权不当
				在基于Web的环境中比较流行。
高	高	高	高	: 缺少对敏感数据的加密
高	高	高	一般	: 使用被xx或者有风险的加密算法
				某些语言中没有内建的加密机制或者已经良好地确立了的库，开发者不得不创建或者集成他们自己的加密算法。
高	高	高	高	: 跨站点伪造请求（CSRF）
				这是基于Web的问题，与语言无关。
高	高	一般	有限	: 竞争条件
				这在所有语言中都是潜在的问题，它支持线程处理或者与操作系统资源交互。
有限	一般	高	有限	: 对危险类型文件的上载不加限制
有限	一般	一般	有限	: 下载代码却不做完整性检查
				对于手机应用的代码最为普遍，尽管在任何管理自己的更新的软件中都可能存在。
一般	一般	一般	一般	: 重定向到不受信任站点的URL（开放重定向）
				这是基于Web的问题，与语言无关。很多web应用程序都不会使用重定向功能。
高	高	高	高	: 对重要的资源赋权不当
高	有限	高	高	: 对非正常或异常的条件检查不当
				对于异常处理会强迫检查的语言，不容易出现此类问题。
高	一般	一般	高	: 分配资源，却不做限制和调节
				对于内建资源管理的环境，不同意出现此类问题。
一般	一般	一般	一般	: 使用硬编码的证书
高				: 使用错误的长度值访问缓冲区
				解释器和本地代码通常是使用C/C++创建的，当我们可以使用更高级别的语言对其进行操作时，就很容易受到缓冲区溢出的影响，否则就是“安全的”代码。
高	高	高	高	: 在安全决策中信赖不被信任的输入
				与语言无关，但在web应用中非常普遍。

郑重声明：资讯【25种最危险的编程错误_A BLOG of Stuffs_百度空间】由发布，版权归原作者及其所在单位，其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实，请读者仅作参考，并请自行核实相关内容。若本文有侵犯到您的版权，请你提供相关证明及申请并与我们联系（qiyeku # qq.com）或【在线投诉】，我们审核后将会尽快处理。

—— 相关资讯 ——