Organisationen Web Application Security Project har skrevet en liste over de ti mest almindelige fejl, som programmørerne bag alverdens websteder begår. Det skriver sikkerhedsorganisationen DK-CERT på sin hjemmeside.
Organisationen bag top ti-listen argumenterer for, at prgrammørerne skal være lige så omhyggelige med sikkerheden på et websted som med konfigurationen af virksomhedens firewall.
Ifølge DK-CERT har flere af fejlene på listen at gøre med mangelfuld validering af input. Det betyder, at angriberne kan liste sig ind bag de sårbare applikationer ved at skrive kommandoer i browserens adressefelt.
Andre fejl opstår, fordi systemadministratorerne ikke er tilstrækkeligt omhyggelige med at begrænse adgangen til de data, som de almindelige web-brugere ikke skal se.
Her følger Open Web Application Security Projects top ti over de mest almindelige fejl, som programmørerne begår, i DK-CERT's oversættelse og bearbejdning:
| Top ti over sikkerhedsfejl i web-applikationer | |
| Uvaliderede parametre | Information fra web-forespørgsler valideres ikke, før web-applikationen anvender den. |
| Mangelfuld adgangskontrol | Begrænsningerne for, hvad godkendte og anonyme brugere har lov til, håndhæves ikke. |
| Fejl i styring af konti og sessioner | Brugernavne, adgangskoder og cookies kan misbruges. |
| Cross-site scripting-sårbarheder | Web-applikationen kan bruges som middel til at transportere angrebskode over på brugerens pc via browseren. |
| Bufferoverløb | Visse programmeringssprog tillader bufferoverløb og kan få programkomponenter til at gå ned eller give mulighed for at få afviklet kode. |
| Kommando-indsætningsfejl | Web-applikationer kan videregive parametre, når de kommunikerer med andre applikationer eller operativsystemet. Hvis kommandoer kan indlejres i disse parametre, kan angribere få dem udført. |
| Fejlhåndteringsproblemer | Fejl behandles ikke korrekt. Dermed kan angribere få viden om et systems opbygning. |
| Usikker brug af kryptering | Krypteringssystemer kan være svære at bruge og installere korrekt. |
| Administration via fjernstyring | Hvis administrator får adgang til serveren via fjernstyring, kan den misbruges af angribere, hvis den ikke er beskyttet ordentligt. |
| Fejlkonfiguration af web- og applikationsserver | Mange servere leveres med en usikker standardkonfiguration. |
Kilde: Open Web Application Security Project
