Esta organización junto con SANS (SysAdmin, Audit, Network, Security) han publicado una lista muy importante de los 25 errores más graves en desarrollo de aplicaciones, y todos ellos aplican perfectamente a las aplicaciones web.
He traducido en dicha lista para Ustedes los nombres de los errores (excepto cuando la traducción no tiene significado y el término es conocido) para que puedan en nuestro lenguaje verificar cada uno de los errores y su nivel de importancia.
He dejado los enlaces al sitio original para cada uno de los errores de la lista, esperando en próximas entregas poderlos ir traduciendo uno por uno.
| Posición | Puntuación | ID | Nombre |
|---|---|---|---|
| [1] | 346 | CWE-79 | Neutralización Impropia del Input Durante la Generación de la Página Web (XSS- Cross Site Scripting) |
| [2] | 330 | CWE-89 | Neutralización Impropia de Elementos Especiales utilizados en un Comando de SQL (SQL Injection) |
| [3] | 273 | CWE-120 | Copiado hacia el Buffer sin verificación del tamaño del Input (Classic Buffer Overflow) |
| [4] | 261 | CWE-352 | Cross-Site Request Forgery (CSRF) |
| [5] | 219 | CWE-285 | Control de Acceso Inapropiado (Authorization) |
| [6] | 202 | CWE-807 | Confianza en Inputs no Asegurados en una Decisión de Seguridad |
| [7] | 197 | CWE-22 | Limitación Impropia del Recorrido de Directorios a un Directorio Específico (Path Traversal) |
| [8] | 194 | CWE-434 | Capacidad de Subir Archivos de Tipos Peligrosos no Restringida |
| [9] | 188 | CWE-78 | Neutralización Impropia de Elementos Especiales Utilizados en Comandos de OS (OS Command Injection) |
| [10] | 188 | CWE-311 | Carencia de Cifrado de Datos Sensibles |
| [11] | 176 | CWE-798 | Uso de Credenciales en Código Fuente. |
| [12] | 158 | CWE-805 | Acceso al Buffer con valor Incorrecto de Longitud |
| [13] | 157 | CWE-98 | Control Indebido de Nombres de archivo para los Comandos Include/Requiere en un Programa en PHP (PHP File Inclusion) |
| [14] | 156 | CWE-129 | Validación Indebida de las posiciones de un Arreglo. |
| [15] | 155 | CWE-754 | Verificación Impropia de Condiciones Inusuales o Excepcionales. |
| [16] | 154 | CWE-209 | Exposición de Información Delicada a través de mensajes de Error. |
| [17] | 154 | CWE-190 | Indebido control de 'Giro de Enteros' |
| [18] | 153 | CWE-131 | Cálculo Incorrecto del tamaño del Buffer |
| [19] | 147 | CWE-306 | Falta de Autenticación para Funciones Críticas |
| [20] | 146 | CWE-494 | Descarga de Código sin Chequeo de Integridad |
| [21] | 145 | CWE-732 | Asignación Incorrecta de Permisos para Recursos Críticos |
| [22] | 145 | CWE-770 | Asignación de recursos sin límites o con límites excesivos |
| [23] | 142 | CWE-601 | Redirecciones de URL a sitios no confiables (Open Redirect) |
| [24] | 141 | CWE-327 | Uso de un Algoritmo Criptográfico Inseguro o Roto |
| [25] | 138 | CWE-362 | Race Condition |
Espero que la lista les resulte útil.
Hasta la próxima...
Entradas
No hay comentarios.:
Publicar un comentario