NSA lista 25 erros de segurança

dark_splinter

dark_splinter

Power Member
Bem tava agora no mail... e recebi um mail do codeproject onde dizia que a NSA tinha revelado os 25 maiores erros de programação em relação a segurança......

fontes:
http://www.pcworld.com/article/156894/nsa_helps_name_most_dangerous_programming_mistakes.html

http://exameinformatica.clix.pt/noticias/software/1001518.html
etc etc...

Como demorei ainda um bocado a encontrar a lista dos erros deixo aqui uma copia....
[FONT=Arial, Helvetica, sans-serif]1.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Improper input validation[/FONT]
[FONT=Arial, Helvetica, sans-serif]2.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Improper encoding or escaping of output[/FONT]
[FONT=Arial, Helvetica, sans-serif]3.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Failure to preserve SQL query structure (SQL injection)[/FONT]
[FONT=Arial, Helvetica, sans-serif]4.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Failure to preserve Web page structure (cross-site scripting)[/FONT]
[FONT=Arial, Helvetica, sans-serif]5.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Failure to preserve operating system command structure (OS command injection)[/FONT]
[FONT=Arial, Helvetica, sans-serif]6.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Cleartext transmission of sensitive information[/FONT]
[FONT=Arial, Helvetica, sans-serif]7.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Cross-site request forgery[/FONT] [FONT=Arial, Helvetica, sans-serif]
8.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Race condition[/FONT]
[FONT=Arial, Helvetica, sans-serif]9.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Error message information leak[/FONT] [FONT=Arial, Helvetica, sans-serif]
10.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Failure to constrain operations within the bounds of a memory buffer[/FONT]
[FONT=Arial, Helvetica, sans-serif]11.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]External control of critical state data[/FONT] [FONT=Arial, Helvetica, sans-serif]
12.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]External control of file name or path[/FONT] [FONT=Arial, Helvetica, sans-serif]
13.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Untrusted search path[/FONT] [FONT=Arial, Helvetica, sans-serif]
14.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Failure to control generation of code (code injection)[/FONT] [FONT=Arial, Helvetica, sans-serif]
15.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Download of code without integrity check[/FONT]
[FONT=Arial, Helvetica, sans-serif]16.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Improper resource shutdown or release[/FONT]
[FONT=Arial, Helvetica, sans-serif]17.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Improper initialization[/FONT] [FONT=Arial, Helvetica, sans-serif]
18.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Incorrect calculation[/FONT] [FONT=Arial, Helvetica, sans-serif]
19.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Porous defenses[/FONT]
[FONT=Arial, Helvetica, sans-serif]20.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Use of a broken or risky cryptographic algorithm[/FONT]
[FONT=Arial, Helvetica, sans-serif]21.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Hard-coded password[/FONT]
[FONT=Arial, Helvetica, sans-serif]22.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Insecure permission assignment for critical resource[/FONT]
[FONT=Arial, Helvetica, sans-serif]23.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Use of insufficiently random values[/FONT]
[FONT=Arial, Helvetica, sans-serif]24.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Execution with unnecessary privileges[/FONT]
[FONT=Arial, Helvetica, sans-serif]25.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Client-side enforcement of server-side security[/FONT]
Não tenho a certeza se está é lista official.... devido a só ter encontrado está na minha rapida pesquisa....

Já agora .... tem algum erro a acrescentar?:x2:
 
Não posso deixar de realçar a primeira: [FONT=Arial, Helvetica, sans-serif]1.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Improper input validation

Esta falha deu origem a um dos mais conhecidos e problemáticos hacks... Vamos ver se adivinham qual é:

Através deste, num campo de introdução de dados, conseguimos sobrecarregar o buffer, fazendo com que o excesso de caracteres introduzidos seja executado como instrução. É uma das formas de, por exemplo, passar por cima de algumas passwords de BIOS, nas mais antigas.

Alguém sabe ao que me refiro? (Quero um nome...) O primeiro a acertar GANHA UMA VIAGEM A FÁTIMA, IDA E VOLTA obviamente a pé...:007:

 [/FONT]
 
dogkiller11 disse:
Não posso deixar de realçar a primeira: [FONT=Arial, Helvetica, sans-serif]1.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Improper input validation

Esta falha deu origem a um dos mais conhecidos e problemáticos hacks... Vamos ver se adivinham qual é:

Através deste, num campo de introdução de dados, conseguimos sobrecarregar o buffer, fazendo com que o excesso de caracteres introduzidos seja executado como instrução. É uma das formas de, por exemplo, passar por cima de algumas passwords de BIOS, nas mais antigas.

Alguém sabe ao que me refiro? (Quero um nome...) O primeiro a acertar GANHA UMA VIAGEM A FÁTIMA, IDA E VOLTA obviamente a pé...:007:

 [/FONT]
Clicar para expandir...

simples, morris worm
 
dogkiller11 disse:
Não posso deixar de realçar a primeira: [FONT=Arial, Helvetica, sans-serif]1.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Improper input validation

Esta falha deu origem a um dos mais conhecidos e problemáticos hacks... Vamos ver se adivinham qual é:

Através deste, num campo de introdução de dados, conseguimos sobrecarregar o buffer, fazendo com que o excesso de caracteres introduzidos seja executado como instrução. É uma das formas de, por exemplo, passar por cima de algumas passwords de BIOS, nas mais antigas.

Alguém sabe ao que me refiro? (Quero um nome...) O primeiro a acertar GANHA UMA VIAGEM A FÁTIMA, IDA E VOLTA obviamente a pé...:007:

 [/FONT]
Clicar para expandir...
lol ..... para windows em C as uns bons meses tentei fazer isso.... mas n tive muito sucesso..... e depois caguei também só tentei durante uns 5 minutos .... haver se volto a testar isso :004:... mas acho que desta vez n tento em windows...
 
tive agora a ler mais calmamente as 25 regras..... não parecer ver nada que nunca tive-se ouvido falar, pelo menos por alto... e para variar disse bosta... no posto anterior quando me referia ao buffer overflow afinal é regra 10 em vez dá 1....
 
Bom, apesar de estarem relacionados, não me parece que os autores da lista tenham falado de input validation no sentido que já aqui foi falado; aliás, basta ler a descrição. Em relação ao buffer overflow (o tal termo misterioso, que de misterioso não tem nada), eles têm vários itens mais detalhados sobre o mesmo.
 
Confesso não ter lido a lista toda... You're right...

O ponto 10 tem bastante mais a ver, se bem que este foi o primeiro que me veio à cabeça ao ler o ponto 1...

PS: Ganhaste a viagem... Enjoy it :p
 
dogkiller11 disse:
Caríssimo, pergunto o que é uma bomba atómica e tu respondes-me que explodiu uma em Hiroshima...

Não sei se estará correcto...
Clicar para expandir...

Bem, tu és casmurro.

A tua pergunta era tão fácil e ÓBVIA, que responder directamente não tinha o minimo de piada. O [c4] achou o mesmo.

Mas pronto vou entrar nos teu termos. Com a bomba de hiroshima o mundo percebeu os efeitos da bomba atómica. Se calhar muitos ouviram falar dela pela 1ª vez.
 
Casmurro? Claro que sou... E quem não é?

"responder directamente não tinha o minimo de piada"... Pesoalmente também não gosto de respostas directas...

PS: Quanto à bomba, acredito mesmo que houve muita gente que soube dela pela primeira vez, até porque foi a PRIMEIRA a ser detonada...

Cumprimentos.
 
Inicie sessão ou registe-se para poder participar.
Back
Topo