Browse > Home / Güvenlik, Uygulama Güvenliği / Blog article: NSA, en tehlikeli 25 kodlama hatalarını açıkladı

| Subcribe RSS

NSA, en tehlikeli 25 kodlama hatalarını açıkladı

April 7th, 2009 Posted in Güvenlik, Uygulama Güvenliği

Dünya üzerinde Güvenlik alanındaki en etkili kurumlar arasında gösterebileceğimiz bir ajans olan US National Security Agency ya da NSA, dünya üzerindeki programcılar için yapılan en büyük programlama kod hatalarını duyurdu. Özellikle 2008 senesinde 1.5 milyondan fazla internet sitesinin hacklendiğine dikkat çeken kurum, kullanıcıların ilgili programları kullanmasından önce  tasarım aşamasında yapılan hataların önceden farkedilip, tedbir alınması gerektiğini savunuyor.

İşte yapılan en tehlikeli programlama hataları:
  • CWE-20:Improper Input Validation
  • CWE-116:Improper Encoding or Escaping of Output
  • CWE-89:Failure to Preserve SQL Query Structure
  • CWE-79:Failure to Preserve Web Page Structure
  • CWE-78:Failure to Preserve OS Command Structure
  • CWE-319:Cleartext Transmission of Sensitive Information
  • CWE-352:Cross-Site Request Forgery
  • CWE-362:Race Condition
  • CWE-209:Error Message Information Leak
  • CWE-119:Failure to Constrain Operations within the Bounds of a Memory Buffer
  • CWE-642:External Control of Critical State Data
  • CWE-73:External Control of File Name or Path
  • CWE-426:Untrusted Search Path
  • CWE-94:Failure to Control Generation of Code
  • CWE-494:Download of Code Without Integrity Check
  • CWE-404:Improper Resource Shutdown or Release
  • CWE-665:Improper Initialization
  • CWE-682:Incorrect Calculation
  • CWE-285:Improper Access Control
  • CWE-327:Use of a Broken or Risky Cryptographic Algorithm
  • CWE-259:Hard-Coded Password
  • CWE-732:Insecure Permission Assignment for Critical Resource
  • CWE-330:Use of Insufficiently Random Values
  • CWE-250:Execution with Unnecessary Privileges
  • CWE-602:Client-Side Enforcement of Server-Side Security
Kaynak: SANS Institute

Uzmanlar ayrıca ilgili açıklıkların henüz tam olarak kavranamadığına dikkat çekmişler. Konuyla ilgili olarak, US National Security Agency, Department of Homeland Security, Microsoft veSymantec kurumları bir bildirge yayınladılar.

Esas soru, Türkiye’de bu tarz yazılım kodlarını irdeleyen ve güvenlik tedbirleri alan kurumların olup/olmadığı? Bu gibi durumların, özellikle tepeden zorunlulukla Audit durumlarında ya da ilgili projenin şartları ve kurumların güvenlik politikaları dahilinde gerçekleşebileceğini düşünüyorum. Aksi halde kendi yazılımlarını geliştiren kurumların uygulayıp, uygulamadığını irdelemek gerek. Bu konuda bilgisi olan arkadaşların konuya yorum yapmalarını bekliyor ve yazılım geliştiren ekiplere selamlarımı sunuyorum. Özellikle çaylak arkadaşlara dikkat 8) .

Cevap Bırakın

Spam Protection by WP-SpamFree

  • Site istatistik

    Bugünkü ziyaret: 26
  • Add to Technorati Favorites

    Mail adresinizi girin:



  • Google Connnect
  • RSS DarkHardWare News