Søg

Web-programmørens ti mest hyppige fejl

Manglende validering af input fra web hører mellem de mest almindelige skavanker i web-programmørernes arbejde. Det viser en liste fra Open Web Application Security Project.

20. januar 2003 kl. 14.55
Magnus Bredsdorff Magnus Bredsdorff

Organisationen Web Application Security Project har skrevet en liste over de ti mest almindelige fejl, som programmørerne bag alverdens websteder begår. Det skriver sikkerhedsorganisationen DK-CERT på sin hjemmeside.



Organisationen bag top ti-listen argumenterer for, at prgrammørerne skal være lige så omhyggelige med sikkerheden på et websted som med konfigurationen af virksomhedens firewall.



Ifølge DK-CERT har flere af fejlene på listen at gøre med mangelfuld validering af input. Det betyder, at angriberne kan liste sig ind bag de sårbare applikationer ved at skrive kommandoer i browserens adressefelt.



Andre fejl opstår, fordi systemadministratorerne ikke er tilstrækkeligt omhyggelige med at begrænse adgangen til de data, som de almindelige web-brugere ikke skal se.



Her følger Open Web Application Security Projects top ti over de mest almindelige fejl, som programmørerne begår, i DK-CERT's oversættelse og bearbejdning:
















































Top ti over sikkerhedsfejl i web-applikationer
Uvaliderede parametre Information fra web-forespørgsler valideres ikke, før web-applikationen anvender den.
Mangelfuld adgangskontrol Begrænsningerne for, hvad godkendte og anonyme brugere har lov til, håndhæves ikke.
Fejl i styring af konti og sessioner Brugernavne, adgangskoder og cookies kan misbruges.
Cross-site scripting-sårbarheder Web-applikationen kan bruges som middel til at transportere angrebskode over på brugerens pc via browseren.
Bufferoverløb Visse programmeringssprog tillader bufferoverløb og kan få program­komponenter til at gå ned eller give mulighed for at få afviklet kode.
Kommando-indsætningsfejl Web-applikationer kan videregive parametre, når de kommunikerer med andre applikationer eller operativsystemet. Hvis kommandoer kan indlejres i disse parametre, kan angribere få dem udført.
Fejlhåndteringsproblemer Fejl behandles ikke korrekt. Dermed kan angribere få viden om et systems opbygning.
Usikker brug af kryptering Krypteringssystemer kan være svære at bruge og installere korrekt.
Administration via fjernstyring Hvis administrator får adgang til serveren via fjernstyring, kan den misbruges af angribere, hvis den ikke er beskyttet ordentligt.
Fejlkonfiguration af web- og applikationsserver Mange servere leveres med en usikker standardkonfiguration.

Kilde: Open Web Application Security Project

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    SAP Excellence Day 2026

    It-løsninger | Nordhavn

    SAP Excellence Day 2026

    Få konkrete erfaringer med S/4HANA, automatisering og AI i praksis. Hør hvordan danske virksomheder realiserer gevinster og etablerer effektive SAP-løsninger. Vælg fysisk deltagelse hos SAP eller deltag digitalt.

    Datacenterstrategi 2026

    Infrastruktur | København

    Datacenterstrategi 2026

    Denne konference bidrager med viden om, hvordan du balancerer cloud, on-premise og hybrid infrastruktur med fokus på kontrol, compliance og forretning.

    Identity Festival 2026 - Aarhus

    Sikkerhed | Aarhus C

    Identity Festival 2026 - Aarhus

    Er du klar til en dag, der udfordrer din forståelse af, hvad Identity & Access Management kan gøre for din organisation? En dag fyldt med indsigt, inspiration og løsninger, der sætter kursen for, hvordan vi arbejder med IAM i de kommende år.

    Se alle vores events inden for it

    Statens IT

    Teamleder til Tilsyn & Compliance

    Københavnsområdet

    TV2

    Kompetenceleder – Advertisement & Partner Management

    Københavnsområdet

    Himsa II K/S

    Tag ansvar for udvikling og drift af vores IT-sikkerhed

    Københavnsområdet

    Statens IT

    Telefonsupportere til Statens It’s servicedesk i Sønderborg

    Sydjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Idura har pr. 1. december 2025 ansat Anders Høiberg Michaelsen, 29 år, som software engineer. Han skal især beskæftige sig med kodning og integration med eID-udbydere som MitID og norsk BankID. Han kommer fra en stilling som programmør og systemudvikler hos Teal Nordic. Han er uddannet diplomingeniør i softwareteknologi fra DTU. Han har tidligere beskæftiget sig med bl.a. at lave open source projekter til at hjælpe andre udviklere med at samle information hurtigt. Nyt job

    Anders Høiberg Michaelsen

    Idura

    Adeno K/S har pr. 2. februar 2026 ansat Casper Barner Kristensen som ServiceNow Expert. Han kommer fra en stilling som Senior Automation Architect. Nyt job

    Casper Barner Kristensen

    Adeno K/S

    Sourcing IT har pr. 2. februar 2026 ansat Susanne Sønderskov som Salgsdirektør. Hun skal især beskæftige sig med at styrke Sourcing IT’s kommercielle fundament, skalere salgsindsatsen og øge tilstedeværelsen bl.a. hos jyske kunder. Hun kommer fra en stilling som Salgsdirektør hos Right People Group ApS. Hun har tidligere beskæftiget sig med salgsledelse inden for IT-freelanceleverancer og komplekse kundeaftaler, både privat og offentligt. Nyt job

    Susanne Sønderskov

    Sourcing IT

    Christian Pedersen, emagine Consulting A/S, er pr. 1. februar 2026 udnævnt som Chief AI Officer. Han beskæftiger sig med opkvalificere emagines ansatte, udvikle interne AI-værktøjer og levere AI-projekter for kunderne. Som leder af et nye AI-team skal han også udvikle og lancere AI-produkter til markedet. Udnævnelse

    Christian Pedersen

    emagine Consulting A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Danmarks største fiber-selskab efter hård priskritik fra Fastspeed: Derfor hæver vi priserne
    2 Fastspeed dropper al nysalg til Danmarks største fibernet i protest: Store prisstigninger på vej
    3 NemKonto ramt af totalnedbrud i 12 timer: Alt gået i sort - nu er løsningen på benene igen
    4 30 energifaciliteter ramt: Russisk angreb på stort europæisk land er en generalprøve, advarer Google
    5 Omdiskuteret filformat får kraftig kritik: 'Microsoft bør grundlæggende redesigne sin kontorprogrammer'
    6 Efter 15 år opdaterer Microsoft vigtig sikkerhedsfunktion på millioner af Windows-computere: Det kommer det til at betyde
    7 Fejlslagen opdatering satte Energinets it-sikkerhed ud af drift i to døgn: Manglede harddiske med ekstra plads
    8 Europas nye AI-håb skovler penge ind og vil nu bygge AI-datacentre i Sverige

    Se seneste uge