Actualité

 

Le TOP 25 des failles de sécurité

Publié le 16-01-2009 à 16:24:15 dans le thème Réseau - Sécurité

Pays : International - Auteur : La rédaction


Pub : 100 DVD vierges déjà pour 22,90 EUR


Note des lecteurs: 4.0/5

La National Security Agency, la NSA, vient de publier avec l´aide d´une trentaine d´experts les 25 erreurs les plus répandues en informatique.

La semaine dernière, la NSA, la division cyber-sécurité du ministère américain de la Sécurité intérieure et une trentaine d'experts et entités dédiés à la sécurité informatique ont diffusé une liste contenant les 25 erreurs  informatique les plus répandues.

Trois catégories divisent cette liste: Les liens non sécurisés entre composants (9); Les ressources mal gérées (9) et des sécurité trouées, poreuses (7). SANS Institut indique que deux de ces erreurs avaient provoqué l'année dernière (2008) quelque 1,5 million de failles dans les sites Web.

1 - Les liens non sécurisés entre composants

CWE-20: Validation insuffisante des entrées.
http://cwe.mitre.org/top25/#CWE-20

CWE-116: Filtrage/formatage ou échappement insuffisant des sorties.
http://cwe.mitre.org/top25/#CWE-116

CWE-89: Défauts de protection des requêtes SQL (Les facheuses SQL Injection).
http://cwe.mitre.org/top25/#CWE-89

CWE-79: Défauts de protection de la structure de la page web (Les XSS, Cross-site Scripting).
http://cwe.mitre.org/top25/#CWE-79

CWE-78: Défauts de protection des commandes système exécutées (Les OS Command Injection).
http://cwe.mitre.org/top25/#CWE-78

CWE-319: Transmission en clair d'informations sensibles.
http://cwe.mitre.org/top25/#CWE-319

CWE-352: Cross-Site Request Forgery (CSRF).
http://cwe.mitre.org/top25/#CWE-352

CWE-362: Race Condition (Perte de données).
http://cwe.mitre.org/top25/#CWE-362

CWE-209: Fuite d'informations à travers les messages d'erreur.
http://cwe.mitre.org/top25/#CWE-209

2 - Les ressources mal gérées

CWE-119: Défaut de maîtrise de la mémoire (Buffer overflows).
http://cwe.mitre.org/top25/#CWE-119

CWE-642: Externalisation du contrôle de données critiques.
http://cwe.mitre.org/top25/#CWE-642

CWE-73: Externalisation du contrôle de noms de fichiers/chemins.
http://cwe.mitre.org/top25/#CWE-73

CWE-426: Autorisation d'accès dans des dossiers/espaces hasardeux.
http://cwe.mitre.org/top25/#CWE-426

CWE-94: Défaut dans le code généré (Code Injection).
http://cwe.mitre.org/top25/#CWE-94

CWE-494: Téléchargement de code exécutable sans contrôle d'intégrité.
http://cwe.mitre.org/top25/#CWE-494

CWE-404: Défaut de libération des ressources allouées.
http://cwe.mitre.org/top25/#CWE-404

CWE-665: Initialisation incorrecte.
http://cwe.mitre.org/top25/#CWE-665

CWE-682: Calcul incorrect.
http://cwe.mitre.org/top25/#CWE-682

3 - Sécurité trouées, poreuses

CWE-285: Défaut de contrôle d'accès.
http://cwe.mitre.org/top25/#CWE-285

CWE-327: Usage d'un mécanisme de chiffrement (MD5, ...) risqué ou compromis.
http://cwe.mitre.org/top25/#CWE-327

CWE-259: Mot de passe "en dur".
http://cwe.mitre.org/top25/#CWE-259

CWE-732: Permission non sécurisée sur une partie-clé du programme.
http://cwe.mitre.org/top25/#CWE-732

CWE-330: Usage de valeurs aléatoires pas suffisamment aléatoire.
http://cwe.mitre.org/top25/#CWE-330

CWE-250: Dépassement de permission allouée. Plus de pouvoir que prévu.
http://cwe.mitre.org/top25/#CWE-250

CWE-602: Mécanismes de sécurité essentiels au serveur du côté client.
http://cwe.mitre.org/top25/#CWE-602

 

Conseiller cet article Réagir RSS ZATAZ Partager cet article sur Wikio Partager cet article sur Scoopeo Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur Fuzz Partager cet article sur del.icio.us Envoyer cet article sur Blogmarks

Derniers contenus

Phishing à l´encontre de la Caisse d´Allocations Familiales

30-01-2010 à 18:08 - 3 commentaire(s)

Exclusif : Prudence, depuis samedi après-midi, un pirate tente de mettre la main sur les identifiants de connexion à la Caisse d´Allocations Familiales.

Cocoonez high–tech

30-01-2010 à 14:30 - 0 commentaire(s)

Oreillerbaladeur et couverture USB pour rester au chaud tout en étant branché ! A découvrir aussi le 1e réseau en 3D dédié à l´art.

Censure du Net: rassurants amendements en commission

28-01-2010 à 11:54 - 0 commentaire(s)

La Quadrature du Net se rassure de l´adoption à l´unanimité en Commission des Lois d´amendements à la loi LOPPSI déposés par le député Tardy.

Les casseroles made in HADOPI

28-01-2010 à 09:02 - 0 commentaire(s)

Chose promise chose due : mobilisation de l'armée numérique pour le lancement de l'opération Casseroles Day (C-DAY).

Nouveau phishing à l´encontre des clients de la Caisse d´Épargne

28-01-2010 à 08:21 - 0 commentaire(s)

Voilà un pirate qui a de la suite dans les idées. Septième attaques à l´encontre des clients de la Caisse d´Épargne.

L´exploit pour hacker la PS3 diffusé sur Internet

27-01-2010 à 15:37 - 0 commentaire(s)

GeoHot, l´auteur du premier véritable crack de la Playstation 3 de Sony diffuse le code qui permet cet exploit technique.

Jouer gratuitement au poker

26-01-2010 à 16:09 - 0 commentaire(s)

Pour rester informé en permanence des dernières offres de poker en ligne, Pokerlistings est le guide le plus actualisé du web.

Do you speak spammeur ?

26-01-2010 à 15:44 - 0 commentaire(s)

Les spammeurs ciblent désormais leurs destinataires en fonction de leur langue et de leur pays d´origine.

Sur le même thème : Réseau - Sécurité

Moi y a vendre bonne arnaque

Prudence, des annonces eBay vous proposent d´acquérir des ordinateurs portables pour 52 euros... Arnaque comprise!

Chercheurs d’emplois – gare aux offres frauduleuses!

Quand les pirates informatiques créent de fausses offres d’emploi : vigilance!

Les joueurs de NCSoft ciblés par un phishing

Pendant que Google râle sur de pseudos pirates Chinois qui ne semblent être que des employés malintentionnés, l´éditeur de jeux en réseau AION, City of heroes, Lineage, ... s´attaque aux vilains fermiers numériques made in china.

Faille vieille de 17 ans révélée dans Windows

Microsoft confirme la présence d´une faille dans Windows vieille de 17 ans.

Escroquerie téléphonique via Facebook

Exclusif : Un groupe Facebook cache une escroquerie qui promet de téléphoner gratuitement. Prudence, une fausse page de connexion au portail communautaire y est proposée.

Perte de poids, gare aux fausses pubs

Exclusif : J´ai perdu 16 Kg en moins de 2 mois avec deux produits gratuits. Une publicité trouble exploite des sites, Tv connus ainsi que le logo du Ministère de la santé et des sports.

Boulette à la Mairie de Roanne... et de Baisieux

Exclusif : Pour les vœux 2010, la mairie de Roanne s´invite sur le web. Mauvaise idée, le courrier contenait plusieurs centaines de données privées. A Baisieux, c'est le site web qui bave !

Solde sur le web

Exclusif : Prudence, un lien appartenant à la boutique en ligne GrosBill pourrait être exploité par un pirate informatique ou autre hameçonneur.

Vos réactions ( 1 )

 Ecrit par Thibow le 19.01.2009 à 11h21 

#

ZATAZien


Inscrit le 16-01-2008

Tiens, intéressant de voir ces stats !

Merci.

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.
 


Derniers communiqués de presse

Censure du Net: rassurants amendements en commission

La Quadrature du Net se rassure de l´adoption à l´unanimité en Commission des Lois d´amendements à la loi LOPPSI déposés par le député Tardy.

Les casseroles made in HADOPI

Chose promise chose due : mobilisation de l'armée numérique pour le lancement de l'opération Casseroles Day (C-DAY).

Jouer gratuitement au poker

Pour rester informé en permanence des dernières offres de poker en ligne, Pokerlistings est le guide le plus actualisé du web.

Do you speak spammeur ?

Les spammeurs ciblent désormais leurs destinataires en fonction de leur langue et de leur pays d´origine.

Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA