1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

NSA lista 25 erros de segurança

Discussão em 'Programação' iniciada por dark_splinter, 13 de Janeiro de 2009. (Respostas: 13; Visualizações: 940)

  1. dark_splinter

    dark_splinter Power Member

    Bem tava agora no mail... e recebi um mail do codeproject onde dizia que a NSA tinha revelado os 25 maiores erros de programação em relação a segurança......

    fontes:
    http://www.pcworld.com/article/156894/nsa_helps_name_most_dangerous_programming_mistakes.html

    http://exameinformatica.clix.pt/noticias/software/1001518.html
    etc etc...

    Como demorei ainda um bocado a encontrar a lista dos erros deixo aqui uma copia....
    [FONT=Arial, Helvetica, sans-serif]1.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Improper input validation[/FONT]
    [FONT=Arial, Helvetica, sans-serif]2.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Improper encoding or escaping of output[/FONT]
    [FONT=Arial, Helvetica, sans-serif]3.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Failure to preserve SQL query structure (SQL injection)[/FONT]
    [FONT=Arial, Helvetica, sans-serif]4.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Failure to preserve Web page structure (cross-site scripting)[/FONT]
    [FONT=Arial, Helvetica, sans-serif]5.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Failure to preserve operating system command structure (OS command injection)[/FONT]
    [FONT=Arial, Helvetica, sans-serif]6.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Cleartext transmission of sensitive information[/FONT]
    [FONT=Arial, Helvetica, sans-serif]7.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Cross-site request forgery[/FONT] [FONT=Arial, Helvetica, sans-serif]
    8.
    [/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Race condition[/FONT]
    [FONT=Arial, Helvetica, sans-serif]9.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Error message information leak[/FONT] [FONT=Arial, Helvetica, sans-serif]
    10.
    [/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Failure to constrain operations within the bounds of a memory buffer[/FONT]
    [FONT=Arial, Helvetica, sans-serif]11.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]External control of critical state data[/FONT] [FONT=Arial, Helvetica, sans-serif]
    12.
    [/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]External control of file name or path[/FONT] [FONT=Arial, Helvetica, sans-serif]
    13.
    [/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Untrusted search path[/FONT] [FONT=Arial, Helvetica, sans-serif]
    14.
    [/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Failure to control generation of code (code injection)[/FONT] [FONT=Arial, Helvetica, sans-serif]
    15.
    [/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Download of code without integrity check[/FONT]
    [FONT=Arial, Helvetica, sans-serif]16.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Improper resource shutdown or release[/FONT]
    [FONT=Arial, Helvetica, sans-serif]17.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Improper initialization[/FONT] [FONT=Arial, Helvetica, sans-serif]
    18.
    [/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Incorrect calculation[/FONT] [FONT=Arial, Helvetica, sans-serif]
    19.
    [/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Porous defenses[/FONT]
    [FONT=Arial, Helvetica, sans-serif]20.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Use of a broken or risky cryptographic algorithm[/FONT]
    [FONT=Arial, Helvetica, sans-serif]21.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Hard-coded password[/FONT]
    [FONT=Arial, Helvetica, sans-serif]22.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Insecure permission assignment for critical resource[/FONT]
    [FONT=Arial, Helvetica, sans-serif]23.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Use of insufficiently random values[/FONT]
    [FONT=Arial, Helvetica, sans-serif]24.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Execution with unnecessary privileges[/FONT]
    [FONT=Arial, Helvetica, sans-serif]25.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Client-side enforcement of server-side security[/FONT]
    Não tenho a certeza se está é lista official.... devido a só ter encontrado está na minha rapida pesquisa....

    Já agora .... tem algum erro a acrescentar?:x2:
     
  2. dogkiller11

    dogkiller11 Power Member

    Não posso deixar de realçar a primeira: [FONT=Arial, Helvetica, sans-serif]1.[/FONT] [FONT=Verdana, Arial, Helvetica, sans-serif]Improper input validation

    Esta falha deu origem a um dos mais conhecidos e problemáticos hacks... Vamos ver se adivinham qual é:

    Através deste, num campo de introdução de dados, conseguimos sobrecarregar o buffer, fazendo com que o excesso de caracteres introduzidos seja executado como instrução. É uma das formas de, por exemplo, passar por cima de algumas passwords de BIOS, nas mais antigas.

    Alguém sabe ao que me refiro? (Quero um nome...) O primeiro a acertar GANHA UMA VIAGEM A FÁTIMA, IDA E VOLTA obviamente a pé...:007:

    [/FONT]
     
  3. KiKas

    KiKas Power Member

    simples, morris worm
     
  4. dark_splinter

    dark_splinter Power Member

    lol ..... para windows em C as uns bons meses tentei fazer isso.... mas n tive muito sucesso..... e depois caguei também só tentei durante uns 5 minutos .... haver se volto a testar isso :004:... mas acho que desta vez n tento em windows...
     
  5. [C4]

    [C4] Power Member

    uhm.... buffer.... buffer.....ov.......
     
  6. dogkiller11

    dogkiller11 Power Member

    E Kikas remata forte, mas ao poste...

    C4 aproveita a oportunidade e contra-ataca... Ele sabe... Mais ninguém?
     
  7. dark_splinter

    dark_splinter Power Member

    tive agora a ler mais calmamente as 25 regras..... não parecer ver nada que nunca tive-se ouvido falar, pelo menos por alto... e para variar disse bosta... no posto anterior quando me referia ao buffer overflow afinal é regra 10 em vez dá 1....
     
  8. AliFromCairo

    AliFromCairo Power Member

    Bom, apesar de estarem relacionados, não me parece que os autores da lista tenham falado de input validation no sentido que já aqui foi falado; aliás, basta ler a descrição. Em relação ao buffer overflow (o tal termo misterioso, que de misterioso não tem nada), eles têm vários itens mais detalhados sobre o mesmo.
     
  9. dogkiller11

    dogkiller11 Power Member

    Confesso não ter lido a lista toda... You're right...

    O ponto 10 tem bastante mais a ver, se bem que este foi o primeiro que me veio à cabeça ao ler o ponto 1...

    PS: Ganhaste a viagem... Enjoy it :p
     
  10. KiKas

    KiKas Power Member

    http://en.wikipedia.org/wiki/Morris_worm

    tu por acaso sabes o que foi a morris worm?!?! Foi a primeira utilização do conceito referido e que teve um alastramento espantoso (para a época)

    acho que foi goleada e tu sofreste um frango :004:
     
  11. dogkiller11

    dogkiller11 Power Member

    Caríssimo, pergunto o que é uma bomba atómica e tu respondes-me que explodiu uma em Hiroshima...

    Não sei se estará correcto...
     
  12. KiKas

    KiKas Power Member

    Bem, tu és casmurro.

    A tua pergunta era tão fácil e ÓBVIA, que responder directamente não tinha o minimo de piada. O [c4] achou o mesmo.

    Mas pronto vou entrar nos teu termos. Com a bomba de hiroshima o mundo percebeu os efeitos da bomba atómica. Se calhar muitos ouviram falar dela pela 1ª vez.
     
  13. dogkiller11

    dogkiller11 Power Member

    Casmurro? Claro que sou... E quem não é?

    "responder directamente não tinha o minimo de piada"... Pesoalmente também não gosto de respostas directas...

    PS: Quanto à bomba, acredito mesmo que houve muita gente que soube dela pela primeira vez, até porque foi a PRIMEIRA a ser detonada...

    Cumprimentos.
     

Partilhar esta Página