MACE's life blog
2011 CWE/SANS 가장 위험한 25大 소프트웨어 오류 본문
반응형
문서 버전: 1.0.2
날짜: 2011년 6월 29일
날짜: 2011년 6월 29일
프로젝트 코디네이터: Bob Martin (MITRE), Mason Brown (SANS), Alan Paller (SANS), Dennis Kirby (SANS)
문서 편집자: Steve Christey (MITRE)
문서 번역자: SANS 코리아(sans@sans.or.kr) http://www.itlkorea.kr
문서 번역자: SANS 코리아(sans@sans.or.kr) http://www.itlkorea.kr
[Contents]
● 상위 25대 오류 목록 사용 안내
● 상위 25대 오류 요약 목록
● 상위 25대 오류 분류유형
● 상위 25대 오류 목록의 구성
● CWE에 대한 상세 설명
● 주요 완화 방법 (Monster Mitigations)
● 부록 A: 선정 기준 및 추가 정보란
● 부록 B: 2011년도 상위 25대 오류 목록의 바뀐 점
● 부록 C: 상위 25대 오류의 구성, 선정 및 점수
● 부록 D: OWASP의 2010년도 상위 10대 목록과의 비교
● 부록 E: 상위 25대 오류 목록 작성에 사용된 기타 참고자료
● 문서 변경 내역
순위 점수 ID 이름
[1] 93.8 CWE-89 SQL 명령에 사용된 특별한 엘리먼트를 무효화 하지 않는 것 ('SQL 인젝션')
[2] 83.3 CWE-78 운영체제(OS) 명령에 사용된 특별한 엘리먼트를 무효화 하지 않는 것 ('OS 명령어 인젝션')
[3] 79.0 CWE-120 입력의 크기를 확인하지 않고 버퍼 복사하는 것 ('전통적인 버퍼 오버플로우')
[4] 77.7 CWE-79 웹 페이지 생성 도중 입력 값을 무효화하지 않는 것 ('XSS(크로스 사이트 스크립팅)')
[5] 76.9 CWE-306 핵심 기능에 대해서 인증을 누락하는 것
[6] 76.8 CWE-862 인가 기능을 누락하는 것
[7] 75.0 CWE-798 인증 데이터를 코드에 직접 기록하는 것
[8] 75.0 CWE-311 민감한 데이터에 암호화 누락하는 것
[9] 74.0 CWE-434 위험한 유형의 파일 업로드를 제한하지 않는 것
[10] 73.8 CWE-807 신뢰할 수 없는 입력 정보에 의존하여 보안성 결정하는 것
[11] 73.1 CWE-250 불필요한 권한으로 실행하는 것
[12] 70.1 CWE-352 사이트 각 요청 위조(CSRF :Cross-Site Request Forgery)
[13] 69.3 CWE-22 금지된 디렉토리에 접근을 제한하지 않는 것('경로 추적')
[14] 68.5 CWE-494 무결성 검사 없이 코드 다운로드하는 것
[15] 67.8 CWE-863 올바르지 않은 인가
[16] 66.0 CWE-829 신뢰할 수 없는 제어영역에서 온 기능을 포함하는 것
[17] 65.5 CWE-732 중요한 자원에 잘못된 권한을 할당하는 것
[18] 64.6 CWE-676 잠재적으로 위험한 함수를 사용하는 것
[19] 64.1 CWE-327 해독되었거나 위험한 암호화 알고리즘 사용하는 것
[20] 62.4 CWE-131 버퍼 크기 잘못 계산하는 것
[21] 61.5 CWE-307 과도한 인증 시도를 제한하지 않는 것
[22] 61.1 CWE-601 신뢰할 수 없는 사이트로 URL 접속지 변경하는 것(„개방적읶 리다이렉트‟)
[23] 61.0 CWE-134 형식 문자열 (Format String)을 통제하지 않는 것
[24] 60.3 CWE-190 정수 오버플로우 또는 랩어라운드 (Integer Overflow or Wraparound)
[25] 59.9 CWE-759 솔트(salt) 없이 일방향 해쉬를 사용하는 것
반응형
'비즈니스&IT' 카테고리의 다른 글
「행정업무용 표준코드」 추가 제정 고시 (0) | 2012.01.12 |
---|---|
[KOBACO] 2011 광고산업통계 통계집 (0) | 2011.12.31 |
비단잉어사 (0) | 2011.11.27 |
세상에 공짜점심은 없다 (0) | 2011.11.26 |
2010 소프트웨어산업백서 (0) | 2011.06.21 |
Comments