Le Top 25 des erreurs de programmation les plus dangereuses, d'après SANS et MITRE

Le Top 25 des erreurs de programmation les plus dangereuses, d'après SANS et MITRE

L'institut SANS, spécialisé dans la sécurité informatique des ordinateurs et des réseaux, accompagné de la corporation MITRE qui se définit comme une organisation non lucrative d'utilité nationale, agissant pour l'intérêt des citoyens américains dans la protection des ressources informatiques du pays ; vient de publier son Top 25 des erreurs de programmation les plus dangereuses de l'année.

Cette liste a été établie avec le concours des deux groupes, mais aussi grâce à la collaboration d'experts en sécurité informatique de toutes nationalités, et de diverses firmes.

Ce top répertorie les erreurs de programmation les plus critiques et les plus courantes qui peuvent rendre un programme vulnérable. Elles sont généralement faciles à repèrer et à exploiter.

Voici ce Top 25, les codes associés aux erreurs correspondent à leurs identifiants dans la base de données CWE de la MITRE (qui recence leur virulence, leur nature, leur fonctionnement, etc.) :

Programming Error Category: Insecure Interaction Between Components

[1] CWE-79: Failure to Preserve Web Page Structure ('Cross-site Scripting')
[2] CWE-89: Failure to Preserve SQL Query Structure (aka 'SQL Injection')
[4] CWE-352: Cross-Site Request Forgery (CSRF)
[8] CWE-434: Unrestricted Upload of File with Dangerous Type
[9] CWE-78: Failure to Preserve OS Command Structure (aka 'OS Command Injection')
[17] CWE-209: Information Exposure Through an Error Message
[23] CWE-601: URL Redirection to Untrusted Site ('Open Redirect')
[25] CWE-362: Race Condition

Programming Error Category: Risky Resource Management

[3] CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
[7] CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
[14] CWE-98: Improper Control of Filename for Include/Require Statement in PHP Program ('PHP File Inclusion')
[12] CWE-805: Buffer Access with Incorrect Length Value
[13] CWE-754: Improper Check for Unusual or Exceptional Conditions
[15] CWE-129: Improper Validation of Array Index
[16] CWE-190: Integer Overflow or Wraparound
[18] CWE-131: Incorrect Calculation of Buffer Size
[20] CWE-494: Download of Code Without Integrity Check
[21] CWE-770: Allocation of Resources Without Limits or Throttling

Programming Error Category: Porous Defenses

[5] CWE-285: Improper Access Control (Authorization)
[6] CWE-807: Reliance on Untrusted Inputs in a Security Decision
[10] CWE-311: Missing Encryption of Sensitive Data
[11] CWE-798: Use of Hard-coded Credentials
[19] CWE-306: Missing Authentication for Critical Function
[22] CWE-732: Incorrect Permission Assignment for Critical Resource
[24] CWE-327: Use of a Broken or Risky Cryptographic Algorithm

Certaines de ses erreurs vous sont-elles familières ? Les avez-vous déjà vues ou commises ?

Comment se protèger contre ces dangers ?

Dans ce Top, quelle erreur vous parait la plus fréquente ? Laquelle vous parait la plus critique et dangereuse ?
Source : Le Top 25 publié par SANS (avec détails et explications en anglais)

Certaines de ses erreurs vous sont-elles familières ? Les avez-vous déjà vues ou commises ?

Carrément. Y'à de l'erreur de programmation et de l'inattention dans tout cela, mais tout le monde s'y retrouvera.

[25] CWE-362: Race Condition

Faut y aller pour faire des exploits sur des failles de ce goût là, voir l'exemple
http://cwe.mitre.org/data/definitions/362.html

[14] CWE-98: Improper Control of Filename for Include/Require Statement in PHP Program ('PHP File Inclusion')

Nécessairement et uniquement le PHP ?

a plus

Session was already closed.

Lol

Bonjour tout le monde,

Je suis développeur Java j2ee, Est 'il possible de suivre des formations en France sur ce type de sujet ? Y a t il en France ou en Europe des organismes qui dispensent ce genre de formation ? Merci pour vos réponses .

Le SQL injection (Ah la bonne programmation à la VB6)

Ne pas contrôler les upload (Le serveur est à plat, sais pas pourquoi , m.. un virus)

Donner des infos aux hackers grâce aux exceptions levées par le serveur Web (pages d'erreurs standard, ne pas trapper les exceptions du serveur lui même, ...).

Les dépassements de buffers et compagnies, c'est du classique, normalement maitrisés par n'importe quel développeur ( j'ai rempli la mémoire).

Permet moi d'être inquiet pour tes clients.

Hmmm.

Je n'ai jamais rencontré une de ces erreurs depuis des années que je programme!! d'où avez vous sorti tout cela?

Envoyé par kaymak

Faut y aller pour faire des exploits sur des failles de ce goût là, voir l'exemple
http://cwe.mitre.org/data/definitions/362.html

C'est pas si rare, les race conditions sont à l'origine de pas mal d'exploit dans les jeux en ligne. Après dans les applis orientées business j'imagine qu'effectivement c'est très rare.

@pmithandir, pour java je ne sais pas, mais pour php tu as des cours de sécurisation disponible dans DVP.

@deadalnix +1


@IDontLikeYou, Je t'aimes bien bisou ; ) Intéressant, tu as quelques mots clefs en tête pour faire des recherches sur le net ?

La plupart des applications contiennent des dizaines d'erreur, on estime à
une erreur pour 1500 lignes de code.

Cependant la plupart des erreurs n'ont aucunes conséquences soit parce qu'elles sont masquées par le reste, soit parce qu'elle n'ont lieu qu'une fois tous les 10 ans, soit parce qu'elle ne touche pas la sécurité.

Même un programme ultra vérifié contient des bugs. ( ex l'explosion d'ariane 5).

Connaitre et éviter les erreurs les plus courantes du sondage semble pourtant
très important car la plupart touche la sécurité !!

C'est pour cela qu'on aime bien les fw : D

@dams78 tu peux préciser un peu c'est intéressant.

Envoyé par pmithrandir

Les sites sur lequels je travaille sont tous des sites fermés type intranet, SAAS.

Et le dernier soucis était la securité en général.

Excuse moi, mais c'est juste crétin. Toute personne renseignée sur la sécurité te confirmera cela : une part importante des attaques viens de l'intérieur.

Envoyé par deadalnix

Excuse moi, mais c'est juste crétin. Toute personne renseignée sur la sécurité te confirmera cela : une part importante des attaques viens de l'intérieur.

+1

La sécurité, ça coute cher ?

Sans doute, mais il est clair, que c'est économique sur le moyen/long terme.

Imagine qu'un salarié mal intentionné supprime tous les données de l'entreprise ? Essaye de chiffre cela, ça va te donner une idée.

La question de la dépense sécuritaire est simple : est-ce que c > p*r ? Ou c est le coût de la mise ne place de la sécurité, p la probabilité que la menace devienne effective et r le coût qu'engendre la réalisation de la menace.

Si l'assertion ci dessus est vraie, alors il faut payer pour la sécurité. Et quand on se rend compte des valeurs de r dans certains cas, on sait pourquoi on paye.

Il existe pas mal d'infos sur les failles classiques type sql injection. Mais la sécurité, ça se pense dans son ensemble (par exemple, c'est bien joli d"utiliser un algo de cryptage super béton avec un clef très longue, mais si le pass est marqué avec un post-it collé sur l'écran . . .).

La sécurité est un domaine dans lequel j'ai des compétences (attention, pas en cryptanalyse, qui est un domaine associé mais différent. je ne appesantis pas la dessus car ce n'est pas le but du topic).

Quand je vois le temps passé à acquérir mes compétences (ça va taper super large, car elles vont de notions psychologiques, à l'algorithmique, l'informatique bas niveau, le réseau, des bases mathématiques solides, etc . . .) et le temps que je passe régulièrement à les mettre à jour, ou bien je suis particulièrement inefficace, ou bien une simple page, ça permet d'éviter les pièges classiques, mais ça ne suffit largement pas.