vendredi 20 novembre 2009

Les 25 erreurs de programmation les plus dangereuses






Les 25 erreurs de programmation les plus dangereuses publiées par le CWE (Common Weakness Enumeration) dans son rapport constituent une liste d'erreurs de programmation les plus importantes pouvant fragiliser la sécurité des logiciels. Fréquemment trouvées et facilement exploitées par les attaques tentant de prendre le contrôle total du logiciel, voler des données, ou empêcher le logiciel de fonctionner, ces erreurs sont de 3 genres:
- Mauvaises interactions entre les composants : Ces vulnérabilités concernent les manières dont les données sont envoyées et reçues par des composants, modules, programmes, processus, threads ou systèmes.
Parmi ce type d'erreurs, on peut citer :
  • Mauvais filtrage des données envoyées par les utilisateurs.
  • Mauvais encodage ou échappement des données en sortie.
  • Injections SQL.
  • Cross Site Scripting (ou XSS)
- Mauvaise gestion des ressources : Ces vulnérabilités concernent la manière dont les applications ne gèrent pas correctement la création, l’utilisation, le transfert et la destruction des ressources systèmes.
Parmi ce type d'erreurs, on peut citer :
  • Buffer overflow
  • Mauvaise libération de ressources (double free()…)
  • Mauvaise initialisation
  • Erreurs de calcul (off by one, division par zéro)
- Protections foireuses : Il s’agit de modes de protection souvent mal utilisés, contournés, ou purement ignorés par les développeurs.
Parmi ce type d'erreurs, on peut citer :
  • Mots de passes codés en dur dans les applications
  • Mauvaises permissions sur les ressources les plus critiques
A dire que la majorité de ces erreurs sont assez fréquentes et peuvent être commises même par les développeurs professionnels!
Pour ceux qui veulent découvrir la liste complète de ces erreurs, je vous oriente vers le rapport (en anglais) de CWE qui comporte une description détaillée de ces erreurs ainsi que les méthodes de prévention.
La traduction de ces erreurs se trouve sur le blog professionnel de Frédéric de Villamil sur les métiers du web. D'ailleurs, la liste que j'ai présenté ici est tiré de son billet : Les 25 erreurs de programmation les plus dangereuses.

Partagez cet article sur vos réseaux sociaux :



Recevez les nouveautés par email

0 commentaires:

Sélectionnez les signes à côté du smiley à insérer dans votre commentaire

:)) ;)) ;;) :X :(( =(( :-o :-* :| :)] :-t
b-( :-L :-/ o_O :D ;) :p :) :( 8-) ^^

Enregistrer un commentaire

Related Posts with Thumbnails