Los 25 errores más peligrosos de la programación
Leo en MITRE una lista donde detallan los 25 errores más peligrosos de la programación:
- No validar las entradas. (CWE-20)
- No formatear (o escapar) adecuadamente las salidas. (CWE-116)
- Cuidado con la inyección de SQL. (CWE-89)
- Cuidado con el Cross-site scripting (XSS). (CWE-79)
- Atención a la ejecución de comandos. (CWE-78)
- Falsificaciones de peticiones en sitios cruzados. (CWE-352)
- Transmisión de información sensible en claro. (CWE-319)
- Race conditions (condiciones de carrera) (CWE-362)
- Cuidado con la información de los mensajes de error, que no den más información de la cuenta. (CWE-209)
- Desbordamientos de buffer. (CWE-119)
- Cuidado con el almacenamiento de datos críticos, no sea que estén accesibles. (CWE-642)
- Cuidado con las rutas y ficheros, exposición de más información de la cuenta o acceso a rutas no necesarias. (CWE-73)
- Control sobre el directorio de búsqueda de recursos. (CWE-426).
- Generación de código. (CWE-94)
- Cuidado con la reutilización. (CWE-494)
- La basura de un hombre es el tesoro de otro. (CWE-404)
- Inicializa correctamente las variables y objetos. (CWE-665)
- Cálculos incorrectos. (CWE-682)
- Control de acceso ineficaz. (CWE-285)
- Utilización de algoritmos criptográficos débiles o rotos. (CWE-327)
- No incluir contraseñas en el código. (CWE-259)
- Asignación de permisos inseguros para recursos críticos. (CWE-732)
- Aleatoriedad previsible. (CWE-330)
- Utilización de más permisos de la cuenta. (CWE-250)
- Confiar la seguridad del servidor al clientes. (CWE-602)