Søg

De ti hyppigste web-fejl

Manglende validering af input fra web er en af de mest almindelige skavanker i web-programmørernes arbejde.

20. januar 2003 kl. 14.53
Magnus Bredsdorff Magnus Bredsdorff

Nyhed

Organisationen Web Application Security Project har skrevet en liste over de ti mest almindelige fejl, som programmørerne bag alverdens websteder begår. Det skriver sikkerhedsorganisationen DK-CERT på sin hjemmeside.



Organisationen bag top ti-listen argumenterer for, at prgrammørerne skal være lige så omhyggelige med sikkerheden på et websted som med konfigurationen af virksomhedens firewall.



Ifølge DK-CERT har flere af fejlene på listen at gøre med mangelfuld validering af input. Det betyder, at angriberne kan liste sig ind bag de sårbare applikationer ved at skrive kommandoer i browserens adressefelt.



Andre fejl opstår, fordi systemadministratorerne ikke er tilstrækkeligt omhyggelige med at begrænse adgangen til de data, som de almindelige web-brugere ikke skal se.



Her følger Open Web Application Security Projects top ti over de mest almindelige fejl, som programmørerne begår, i DK-CERT's oversættelse og bearbejdning:
















































Top ti over sikkerhedsfejl i web-applikationer
Uvaliderede parametre Information fra web-forespørgsler valideres ikke, før web-applikationen anvender den.
Mangelfuld adgangskontrol Begrænsningerne for, hvad godkendte og anonyme brugere har lov til, håndhæves ikke.
Fejl i styring af konti og sessioner Brugernavne, adgangskoder og cookies kan misbruges.
Cross-site scripting-sårbarheder Web-applikationen kan bruges som middel til at transportere angrebskode over på brugerens pc via browseren.
Bufferoverløb Visse programmeringssprog tillader bufferoverløb og kan få program­komponenter til at gå ned eller give mulighed for at få afviklet kode.
Kommando-indsætningsfejl Web-applikationer kan videregive parametre, når de kommunikerer med andre applikationer eller operativsystemet. Hvis kommandoer kan indlejres i disse parametre, kan angribere få dem udført.
Fejlhåndteringsproblemer Fejl behandles ikke korrekt. Dermed kan angribere få viden om et systems opbygning.
Usikker brug af kryptering Krypteringssystemer kan være svære at bruge og installere korrekt.
Administration via fjernstyring Hvis administrator får adgang til serveren via fjernstyring, kan den misbruges af angribere, hvis den ikke er beskyttet ordentligt.
Fejlkonfiguration af web- og applikationsserver Mange servere leveres med en usikker standardkonfiguration.

Kilde: Open Web Application Security Project og Computerworld Online.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Capgemini Danmark A/S

    IGNITE Graduate Program 2026

    Københavnsområdet

    Digitaliseringsstyrelsen

    Systemforvalter med forståelse for cybersikkerhed til borger.dk

    Københavnsområdet

    Digitaliseringsstyrelsen

    Teknisk systemforvalter til Digitaliseringsstyrelsens EU-gateway-løsninger

    Københavnsområdet

    Netcompany A/S

    Data Management Consultant

    Københavnsområdet

    Se flere it-stillinger
    Årets CISO 2026

    Event: Årets CISO 2026

    Sikkerhed | København

    Vi glæder os til at løfte sløret for flere detaljer til denne konference. I mellemtiden kan du tilmelde dig og dermed have tidspunktet reserveret i din kalender.

    22 oktober 2026 | Gratis deltagelse

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år, som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

    Dan Toft

    Pinksky ApS

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    Guardsix har pr. 1. april 2026 ansat Annbritt Andersen som Global Chief Revenue Officer (CRO). Hun skal især beskæftige sig med at geare organisationen til en markant skalering i Europa. Hun har tidligere beskæftiget sig med globale kommercielle strategier for nogle af branchens allerstørste spillere, herunder Microsoft. Nyt job

    Annbritt Andersen

    Guardsix

    Se mere fra navnenyt

    Mest læste

    1 KMD siger farvel til 180 medarbejdere - her er årsagen
    2 Din gamle pc er blevet guld værd: Værdien på brugt it-udstyr brager i vejret
    3 Tirsdag er skæbnedag for KMD-ansatte: På dette tidspunkt får de besked om fyringer
    4 Windows står over for massiv performance-overhaling: Bliver op til 70 procent kvikkere i brug
    5 Hannah gav AI-agent fri adgang til sit kreditkort som et eksperiment - og det gik rigtigt hurtigt helt galt
    6 Test: Dine naboer vil hade dig for denne 'Extreme'-højttaler, hvis du ikke passer på
    7 Apple dropper i al stilhed en stribe Mac-modeller: Disse modeller udgår
    8 Ny AI-model har sat finansverdenen på den anden ende: Frygter angreb på banker

    Se seneste uge