Die 25 häufigsten Programmierfehler

Eine aktuelle Liste führt die geläufigsten Softwarefehler auf, die für gefährliche Sicherheitslücken, Datenlecks und Manipulationen verantwortlich sind. Die Common Weakness Enumeration (CWE) und das SANS Institute stellen auch in diesem Jahr wieder eine Liste der gefährlichsten Softwarefehler zusammen, um Entwickler auf die Gefahren durch kritische Probleme hinzuweisen. Die grösste Bedrohung stellt eine unzureichende Filterung und Entfernung von Elementen in SQL-Befehlen dar, die für SQL Injection missbraucht werden können. Auf Platz 2 folgen ungefilterte Befehle, die an das Betriebssystem weitergegeben werden und zur Übernahme des Systems führen können. Ungeprüfte Eingabegrössen rangieren auf Platz 3 und sind für Buffer Overflows verantwortlich.

In Webanwendungen machen vor allem ungefilterte Eingaben Probleme, die Angreifer für Cross-Site-Scripting (XSS) ausnutzen (Platz 4). Fehlende Authentifizierungsmassnahmen für kritische Funktionen (Platz 5) und fehlende Autorisisierung (Platz 6) sind häufige Fehler. Ferner finden sich immer wieder Upload-Funktionen, bei denen die übermittelten Dateien nicht hinreichend durchleuchtet werden (Platz 9). Auf Platz 12 schaffen es Fehler in Webanwendungen, die Cross-Site Request Forgery (XSRF) ermöglichen. URL-Umleitungen auf nicht vertrauenswürdige Websites schaffen es auf Platz 22. Neben der Liste geben CWE und SANS Entwicklern Tipps und detaillierte Beschreibungen, wie es zu einem der genannten Fehler kommen kann. Die Organisationen möchten mit ihrer Top-25-Liste dazu beitragen, Sicherheitslücken und Funktionsstörungen zu vermeiden, indem sie Entwickler über die gefährlichsten Softwarefehler aufklären und ihnen dabei helfen, die eigenen Applikationen zu verbessern. (ph/webdev)    CWE/SANS Top 25