Rapport SANS/CWE v1.03 - Les 25 erreurs de programmation les plus dangereuses
Ce rapport indique les 25 erreurs de programmation SANS/CWE les plus dangereuses détectées sur votre site. Il associe les types de problème à des valeurs CWE. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
Pourquoi est-ce important
Le rapport SANS/CWE v1.03 - Les 25 erreurs de programmation les plus dangereuses est une liste des erreurs de programmation les plus graves pouvant entraîner des vulnérabilités logicielles graves. Ces erreurs sont fréquentes, et la plupart du temps faciles à détecter et à exploiter. Elles représentent un danger car elles permettent souvent à des cyber-attaquants de prendre le contrôle du logiciel, de dérober des données ou d'entraver complètement le fonctionnement du logiciel.Voici une liste abrégée des 25 principaux éléments, dans un ordre de classement général.
| Rang | ID | Nom |
|---|---|---|
| 1 | CWE-89 | Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL ('Injection SQL') |
| 2 | CWE-78 | Neutralisation incorrecte des éléments spéciaux utilisés dans une commande OS ('Injection de commandes OS') |
| 3 | CWE-120 | Copie en mémoire tampon sans vérification de taille de l'entrée ('Débordement de mémoire tampon classique') |
| 4 | CWE-79 | Neutralisation incorrecte de l'entrée pendant la génération de page Web ("Scriptage intersite") |
| 5 | CWE-306 | Absence d'authentification pour une fonction critique |
| 6 | CWE-862 | Autorisation manquante |
| 7 | CWE-798 | Utilisation de données d'identification codées en dur |
| 8 | CWE-311 | Absence de chiffrement pour les données sensibles |
| 9 | CWE-434 | Téléchargement amont non restreint d'un fichier de type dangereux |
| 10 | CWE-807 | Prise de décision en matière de sécurité fondée sur des entrées non fiables |
| 11 | CWE-250 | Exécution avec des privilèges inutiles |
| 12 | CWE-352 | Falsification de requêtes intersite (CSRF) |
| 13 | CWE-22 | Limitation incorrecte d'un nom de chemin à un répertoire restreint ('Traversée de répertoires') |
| 14 | CWE-494 | Téléchargement de code sans contrôle d'intégrité |
| 15 | CWE-863 | Autorisation incorrecte |
| 16 | CWE-829 | Inclusion de fonctionnalité provenant de la sphère de contrôle non sécurisée |
| 17 | CWE-732 | Octroi de permission non sécurisée sur une ressource clé du programme |
| 18 | CWE-676 | Utilisation d'une fonction potentiellement dangereuse |
| 19 | CWE-327 | Usage d'un mécanisme de chiffrement risqué ou compromis |
| 20 | CWE-131 | Calcul incorrect de la taille de la mémoire tampon |
| 21 | CWE-307 | Restriction inappropriée d'un nombre excessif de tentatives d'authentification |
| 22 | CWE-601 | Redirection d'une adresse URL vers un site non sécurisé ('Redirection ouverte') |
| 23 | CWE-134 | Chaîne de format incorrecte |
| 24 | CWE-190 | Dépassement ou bouclage d'entier |
| 25 | CWE-759 | Utilisation d'un hachage à sens unique sans sel de cryptage |