یکشنبه 1 مهر 1397 | به روز شده: 25 دقیقه قبل

HAMSHAHRIONLINE

The online version of the Iranian daily Hamshahri
ISSN 1735-6393
شنبه 28 دی 1387 - 11:52:15 | کد مطلب: 73165 چاپ

آشنایی با خطرناک‌ترین خطاهای برنامه‌نویسی

میزآنلاین > فضای سایبر - همشهری آنلاین:
آژانس امنیت ملی آمریکا برای اولین بار لیستی از خطرناک‌ترین خطا‌های برنامه‌نویسی را منتشر کرده‌است.

25 خطای برنامه‌سازی و برنامه‌نویسی در این لیست موجود است که هر کدام از آن‌ها در صورت وجود در برنامه‌ها، سیستم‌های عامل و سرورها می‌تواند باعث ایجاد حفره‌ها و محیط‌های آسییب‌‍پذیر امنیتی شود.

متخصصان امنیت کامپیوتر معتقدند که برنامه‌سازان و برنامه‌نویسان از بیشتر این خطاها آگاه نیستند.

در سال 2008 تنها دو خطا از این لیست باعث ایجاد حفره در 1.5 میلیون وب‌سایت شد.

بیش از 30 آژانس دولتی و شرکت از جمله مایکروسافت و سیمانتک از انتشار این لیست حمایت کرده‌اند.

      • CWE-20: اعتبار ‌نامناسب داده‌های ورودی
      • CWE-116: بازکردن و رمز گشایی نا‌مناسب داده‌های خروجی
      • CWE-89: نگهداری ناموفق ساختارهای جستجوی SQL
      • CWE-79: نگهداری ناموفق ساختارهای صفحات وب
      • CWE-78: نگهداری ناموفق ساختارهای دستوری سیستم عامل
      • CWE-319: ارسال اطلاعات حساس به روش ClearText
      • CWE352: جعل اطلاعات به روش Cross-site
      • CWE-362: آسیب پذیری Race Condition
      • CWE-209: خروج اطلاعات پیغام‌های خطا
      • CWE-119: ضعف در اجرای دستورات و عملیات در محدوده بافر حافظه
      • CWE-642: کنترل خارجی اطلاعات با موقعیت حساس
      • CWE-73: کنترل خارجی نام یا محل قرارگیری قابل‌ها
      • CWE-94: عدم کنترل بر تولید کدهای برنامه
      • CWE-494: دانلود کد بدون عبور از تست Integrity
      • CWE-404: نشر یا از کار انداختن نامناسب منابع برنامه
      • CWE-665: شروع نامناسب برنامه
      • CWE-682: غلط‌ های محاسباتی
      • CWE-285: کنترل نامتناسب سطوح دسترسی
      • CWE-327: استفاده از الگوریتم‌های شکسته شده و یا آسیب‌پذیر کدگذاری
      • CWE-259: استفاده از پسوردهای Hard-coded
      • CWE-732: ایجاد دسترسی ناامن برای منابع حساس اطلاعات
      • CWE-330: استفاده از مقادیر تصادفی ناکافی
      • CWE-250: اجرای دستورات با تخصیص امکانات و امتیازات غیرضروری
      • CWE-602: تحت فشار گذاشتن بخش امنیت سرور از سوی کاربران

هکرها و افرادی که به هسته اصلی برنامه‌ها و سرورها نفوذ می‌کنند با استفاده از عدم آگاهی برنامه‌نویسان از همین خطاها به هدف خود می‌رسند.
پیش‌بینی می‌شود که در صورت رعایت اصول امنیتی و بررسی این خطاها در برنامه‌ها، دسترسی تعداد زیادی از هکرها به منابع اطلاعاتی حساس غیر ممکن می‌شود.

این خطاها با توافق کامل شرکت‌ها و موسسات نرم‌افزار و امنیت منتشر شده است و انتظار می‌رود که برنامه‌نویسان با شناخت اینگونه خطاها، نرم‌افزارهای ایمن‌تری را طراحی کنند.