25 SANS
Zur Navigation springen
Zur Suche springen
SysAdmin, Audit, Network, Security
Die Initiative wurde von der National Security Agency mit finanzieller Unterstützung der National Cyber Security Division des DHS initiiert. Es wurde von MITRE und SANS (SysAdmin, Audit, Network, Security) implementiert.
Bei den Top 25 konnten sich die Parteien nach den vorgelegten Informationen relativ schnell einigen. Der zweite Schritt wäre, Programmierern beizubringen, Code zu schreiben, der frei von den Programmierfehlern der Top 25 ist.
Das langfristige Ziel ist,
- Bieten Sie Softwarekäufern sicherere Software an. Dafür sind Zertifizierungsmechanismen gefragt.
- Um Programmierern Werkzeuge zur Verfügung zu stellen, um die Sicherheitsaspekte der entwickelten Software zu überprüfen. Zu diesem Zweck haben verschiedene Anbieter von Testsoftware parallel mit der Ankündigung angekündigt, dass ihre Software Code auf Top 25 Programmierfehler testet.
- Schulungsanbieter und Entwickler, die Programmierer ausbilden, um eine Schulungsgrundlage zu schaffen, die hilft, die 25 häufigsten Fehler zu vermeiden.
- Stellen Sie Arbeitgebern oder Auftragnehmern die Top-25-Liste als zusätzliche Referenz zur Verfügung, damit sie die Fähigkeiten der Bewerber überprüfen können
| Rank | ID | Name |
|---|---|---|
| [1] | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') |
| [2] | CWE-78 | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') |
| [3] | CWE-120 | Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') |
| [4] | CWE-79 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') |
| [5] | CWE-306 | Missing Authentication for Critical Function |
| [6] | CWE-862 | Missing Authorization |
| [7] | CWE-798 | Use of Hard-coded Credentials |
| [8] | CWE-311 | Missing Encryption of Sensitive Data |
| [9] | CWE-434 | Unrestricted Upload of File with Dangerous Type |
| [10] | CWE-807 | Reliance on Untrusted Inputs in a Security Decision |
| [11] | CWE-250 | Execution with Unnecessary Privileges |
| [12] | CWE-352 | Cross-Site Request Forgery (CSRF) |
| [13] | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') |
| [14] | CWE-494 | Download of Code Without Integrity Check |
| [15] | CWE-863 | Incorrect Authorization |
| [16] | CWE-829 | Inclusion of Functionality from Untrusted Control Sphere |
| [17] | CWE-732 | Incorrect Permission Assignment for Critical Resource |
| [18] | CWE-676 | Use of Potentially Dangerous Function |
| [19] | CWE-327 | Use of a Broken or Risky Cryptographic Algorithm |
| [20] | CWE-131 | Incorrect Calculation of Buffer Size |
| [21] | CWE-307 | Improper Restriction of Excessive Authentication Attempts |
| [22] | CWE-601 | URL Redirection to Untrusted Site ('Open Redirect') |
| [23] | CWE-134 | Uncontrolled Format String |
| [24] | CWE-190 | Integer Overflow or Wraparound |
| [25] | CWE-759 | Use of a One-Way Hash without a Salt |