SANS/CWE 上位 25 の最も危険なプログラミング・エラー v1.03 レポート
このレポートには、ユーザーのサイトで検出される SANS/CWE 上位 25 の最も危険なプログラミング・エラーの問題が表示されます。CWE 値によって問題のタイプを突きあわせます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
問題点
CWE/SANS 上位 25 の最も危険なプログラミング・エラー v1.03 は、重大なソフトウェア脆弱性につながる可能性のある最も重要なプログラミング・エラーのリストです。これらのエラーは頻繁に発生し、多くの場合検出しやすく、また活用が容易です。これらのエラーにより、攻撃者がソフトウェアを完全に乗っ取ったり、データを流用したり、あるいはソフトウェアがまったく機能しないようにしたりすることができるため、危険です。以下に、一般的なランキングに従って上位 25 項目を簡単にリストします。
| ランク | ID | Name (名前) |
|---|---|---|
| 1 | CWE-89 | SQL コマンドで使用される特殊要素の不適切な中立化 (「SQL 注入」) |
| 2 | CWE-78 | OS コマンドで使用される特殊要素の不適切な中立化 (「OS コマンド注入」) |
| 3 | CWE-120 | 入力のサイズを検査せずに行われるバッファー・コピー (「クラシック・バッファー・オーバーフロー」) |
| 4 | CWE-79 | Web ページ生成時の入力の不適切な中立化 (「クロスサイト・スクリプティング」) |
| 5 | CWE-306 | 重大な機能に関する認証の欠落 |
| 6 | CWE-862 | 許可の欠落 |
| 7 | CWE-798 | ハードコーディングされた資格情報の使用 |
| 8 | CWE-311 | 機密データの暗号化の欠落 |
| 9 | CWE-434 | 危険なタイプのファイルの無制限なアップロード |
| 10 | CWE-807 | セキュリティー決定における信頼できない入力への依存 |
| 11 | CWE-250 | 不必要な特権の実行 |
| 12 | CWE-352 | Cross-Site Site Request Forgery (クロスサイト要求偽造) (CSRF) |
| 13 | CWE-22 | 制限されたディレクトリーへのパス名の不適切な制限 (「パス・トラバーサル」) |
| 14 | CWE-494 | 整合性検査なしでのコードのダウンロード |
| 15 | CWE-863 | 不適切な許可 |
| 16 | CWE-829 | 信頼できない制御範囲からの機能の組み込み |
| 17 | CWE-732 | クリティカル・リソースに関する誤ったアクセス権割り当て |
| 18 | CWE-676 | 潜在的に危険な関数の使用 |
| 19 | CWE-327 | 破損した、または危険のある暗号アルゴリズム |
| 20 | CWE-131 | 誤ったバッファー・サイズの計算 |
| 21 | CWE-307 | 過度な認証試行の不適切な制限 |
| 22 | CWE-601 | 信頼できないサイトへの URL リダイレクト (「オープン・リダイレクト」) |
| 23 | CWE-134 | 制御されない書式制御ストリング |
| 24 | CWE-190 | 整数オーバーフローまたは循環 |
| 25 | CWE-759 | ソルトなしの片方向ハッシュの使用 |