Actualité
Le TOP 25 des failles de sécurité
Publié le 16-01-2009 à 16:24:15 dans le thème Réseau - Sécurité
Pays : International - Auteur : La rédaction
Pub : Tous les antivirus en ligne pour désinfecter votre ordinateur
La National Security Agency, la NSA, vient de publier avec l´aide d´une trentaine d´experts les 25 erreurs les plus répandues en informatique.
La semaine dernière, la NSA, la division cyber-sécurité du ministère américain de la Sécurité intérieure et une trentaine d'experts et entités dédiés à la sécurité informatique ont diffusé une liste contenant les 25 erreurs informatique les plus répandues.
Trois catégories divisent cette liste: Les liens non sécurisés entre composants (9); Les ressources mal gérées (9) et des sécurité trouées, poreuses (7). SANS Institut indique que deux de ces erreurs avaient provoqué l'année dernière (2008) quelque 1,5 million de failles dans les sites Web.
1 - Les liens non sécurisés entre composants
CWE-20: Validation insuffisante des entrées.
http://cwe.mitre.org/top25/#CWE-20
CWE-116: Filtrage/formatage ou échappement insuffisant des sorties.
http://cwe.mitre.org/top25/#CWE-116
CWE-89: Défauts de protection des requêtes SQL (Les facheuses SQL Injection).
http://cwe.mitre.org/top25/#CWE-89
CWE-79: Défauts de protection de la structure de la page web (Les XSS, Cross-site Scripting).
http://cwe.mitre.org/top25/#CWE-79
CWE-78: Défauts de protection des commandes système exécutées (Les OS Command Injection).
http://cwe.mitre.org/top25/#CWE-78
CWE-319: Transmission en clair d'informations sensibles.
http://cwe.mitre.org/top25/#CWE-319
CWE-352: Cross-Site Request Forgery (CSRF).
http://cwe.mitre.org/top25/#CWE-352
CWE-362: Race Condition (Perte de données).
http://cwe.mitre.org/top25/#CWE-362
CWE-209: Fuite d'informations à travers les messages d'erreur.
http://cwe.mitre.org/top25/#CWE-209
2 - Les ressources mal gérées
CWE-119: Défaut de maîtrise de la mémoire (Buffer overflows).
http://cwe.mitre.org/top25/#CWE-119
CWE-642: Externalisation du contrôle de données critiques.
http://cwe.mitre.org/top25/#CWE-642
CWE-73: Externalisation du contrôle de noms de fichiers/chemins.
http://cwe.mitre.org/top25/#CWE-73
CWE-426: Autorisation d'accès dans des dossiers/espaces hasardeux.
http://cwe.mitre.org/top25/#CWE-426
CWE-94: Défaut dans le code généré (Code Injection).
http://cwe.mitre.org/top25/#CWE-94
CWE-494: Téléchargement de code exécutable sans contrôle d'intégrité.
http://cwe.mitre.org/top25/#CWE-494
CWE-404: Défaut de libération des ressources allouées.
http://cwe.mitre.org/top25/#CWE-404
CWE-665: Initialisation incorrecte.
http://cwe.mitre.org/top25/#CWE-665
CWE-682: Calcul incorrect.
http://cwe.mitre.org/top25/#CWE-682
3 - Sécurité trouées, poreuses
CWE-285: Défaut de contrôle d'accès.
http://cwe.mitre.org/top25/#CWE-285
CWE-327: Usage d'un mécanisme de chiffrement (MD5, ...) risqué ou compromis.
http://cwe.mitre.org/top25/#CWE-327
CWE-259: Mot de passe "en dur".
http://cwe.mitre.org/top25/#CWE-259
CWE-732: Permission non sécurisée sur une partie-clé du programme.
http://cwe.mitre.org/top25/#CWE-732
CWE-330: Usage de valeurs aléatoires pas suffisamment aléatoire.
http://cwe.mitre.org/top25/#CWE-330
CWE-250: Dépassement de permission allouée. Plus de pouvoir que prévu.
http://cwe.mitre.org/top25/#CWE-250
CWE-602: Mécanismes de sécurité essentiels au serveur du côté client.
http://cwe.mitre.org/top25/#CWE-602
Tweet
Derniers contenus
L´ANSSI recrute de manière originale
06-02-2012 à 19:16 - 0 commentaire(s)
INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.
Nouvelle attaque à l´encontre des clients du Crédit Agricole
05-02-2012 à 10:43 - 0 commentaire(s)
INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.
Sauvegarde des conversations téléphoniques pour France télévision
04-02-2012 à 11:42 - 0 commentaire(s)
INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.
Faille sur le site Wikileaks
04-02-2012 à 11:27 - 0 commentaire(s)
INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.
Piège sur Facebook
04-02-2012 à 10:59 - 0 commentaire(s)
INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.
Arnaque aux logements
04-02-2012 à 10:53 - 0 commentaire(s)
INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.
Une conférence téléphonique du FBI piratée par des Anonymous
04-02-2012 à 10:21 - 1 commentaire(s)
INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.
La Ville de Chambéry corrige une fuite de données
04-02-2012 à 10:05 - 1 commentaire(s)
INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.
Sur le même thème : Réseau - Sécurité
Faille sur le site Wikileaks
INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.
La Ville de Chambéry corrige une fuite de données
INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.
Prudence aux liens vers Darty et ELLE
Des vulnérabilités ont été découvertes sur les sites RueDuCommerce, Darty et du journal ELLE. Prudence aux liens exterieurs.
Quand des Anonymous tapent sur des Anonymous, ça mousse
INFO ZATAZ - Des Anonymous reprochent à d´autres Anonymous d'avoir piraté des sites appartenant à la mouvance d'extrême droite. Pour les punir, leurs identités sont diffusées sur la toile.
Les informations confidentielles de 541 policiers Français diffusées par les Anonymous
Les Anonymous diffusent sur Internet l´identités et des informations confidentielles de plusieurs centaines de policiers Français.
Faille pour Myspace
Info ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le portail communautaire MySpace.
Multiples failles pour le site économique Forbes
INFO ZATAZ - Plusieurs vulnérabilités touchent le site économique américain Forbes. Les lecteurs peuvent être touchés directement.
La ville de Béthune corrige une fuite de données
INFO ZATAZ - Une méga fuite de données permettait d´accéder à une imposante base de données appartenant à la Mairie de Béthune.
Vos réactions ( 1 )
Ecrit par Thibow le 19.01.2009 à 11h21 | |||
|
|||
Réagir
- L´ANSSI recrute de manière originale
- Une conférence téléphonique du FBI piratée pa...
- Sauvegarde des conversations téléphoniques po...
- Piège sur Facebook
- Nouvelle attaque à l´encontre des clients du ...
- Faille sur le site Wikileaks
- Arnaque aux logements
- La Ville de Chambéry corrige une fuite de don...
- Ca faille chez vous ?
- Vulnérabilité sur le site du PMU
- 0day Adobe Flash CVE-2011-0611 exploité sur I...
- Vulnérabilité VideoLAN VLC
- 0day Windows Thumbnails
- XSS persistant pour Wordpress 3.0.4
- RFU pour CubeCart 3.0.0
- LFI pour Joomla Jotloader 2.2.1
- RFU pour Serendipity 1.5.4
- LFI pour Joomla com_xgallery
Labs ZATAZ
CVE-2011-3230 Apple Safari file:// Arbitrary Code Execution Metasploit Demo
Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Sa [...]
Modules Metasploit Auxiliaires MySQL
Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes S [...]
Modules Metasploit Auxiliaires PostgreSQL
Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et li [...]
CVE-2011-0807 : Sun/Oracle GlassFish Server Authenticated Code Execution Metasploit Demo
Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le 19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazque [...]
- Des jeux en ligne pour enfants attendrissants...
- Le virus Morto nous prépare-t-il une saucisse...
- Comment assurer la protection adéquate de vot...
- Stuxnet II, une nouvelle STARS est née ?
- Fuite de courriels... triste habitude du web
- Java pas fort dans votre navigateur
- La décennie du cybercrime
- Les malwares 2011, plus complexes
- Actus juridiques web du mois de février 2011
- HaideD : les tendances 2010 - P4
- Création de site web optimisé pour le référen...
- Après google+, le nouveau concurrent de Faceb...
- Télécharger toutes les versions de Mozilla Fi...
- Retrouver la clé d'installation de Windows 7...
- La tablette Kindle d'Amazon enfin en françai...
- A Eric Seguinard
- Flash 10.1, enfin l'accélération matérielle
- Opera, le navigateur qui a du mal
- Paiement des amendes sur Internet, gare aux a...
- Récupérer vos données ou votre système Window...
