Søg

De ti hyppigste web-fejl

Manglende validering af input fra web er en af de mest almindelige skavanker i web-programmørernes arbejde.

20. januar 2003 kl. 14.53
Magnus Bredsdorff Magnus Bredsdorff

Nyhed

Organisationen Web Application Security Project har skrevet en liste over de ti mest almindelige fejl, som programmørerne bag alverdens websteder begår. Det skriver sikkerhedsorganisationen DK-CERT på sin hjemmeside.



Organisationen bag top ti-listen argumenterer for, at prgrammørerne skal være lige så omhyggelige med sikkerheden på et websted som med konfigurationen af virksomhedens firewall.



Ifølge DK-CERT har flere af fejlene på listen at gøre med mangelfuld validering af input. Det betyder, at angriberne kan liste sig ind bag de sårbare applikationer ved at skrive kommandoer i browserens adressefelt.



Andre fejl opstår, fordi systemadministratorerne ikke er tilstrækkeligt omhyggelige med at begrænse adgangen til de data, som de almindelige web-brugere ikke skal se.



Her følger Open Web Application Security Projects top ti over de mest almindelige fejl, som programmørerne begår, i DK-CERT's oversættelse og bearbejdning:
















































Top ti over sikkerhedsfejl i web-applikationer
Uvaliderede parametre Information fra web-forespørgsler valideres ikke, før web-applikationen anvender den.
Mangelfuld adgangskontrol Begrænsningerne for, hvad godkendte og anonyme brugere har lov til, håndhæves ikke.
Fejl i styring af konti og sessioner Brugernavne, adgangskoder og cookies kan misbruges.
Cross-site scripting-sårbarheder Web-applikationen kan bruges som middel til at transportere angrebskode over på brugerens pc via browseren.
Bufferoverløb Visse programmeringssprog tillader bufferoverløb og kan få program­komponenter til at gå ned eller give mulighed for at få afviklet kode.
Kommando-indsætningsfejl Web-applikationer kan videregive parametre, når de kommunikerer med andre applikationer eller operativsystemet. Hvis kommandoer kan indlejres i disse parametre, kan angribere få dem udført.
Fejlhåndteringsproblemer Fejl behandles ikke korrekt. Dermed kan angribere få viden om et systems opbygning.
Usikker brug af kryptering Krypteringssystemer kan være svære at bruge og installere korrekt.
Administration via fjernstyring Hvis administrator får adgang til serveren via fjernstyring, kan den misbruges af angribere, hvis den ikke er beskyttet ordentligt.
Fejlkonfiguration af web- og applikationsserver Mange servere leveres med en usikker standardkonfiguration.

Kilde: Open Web Application Security Project og Computerworld Online.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Styrelsen for Danmarks Fængsler

    Løsningsarkitekt søges til fortsat digitalisering af Danmarks Fængsler

    Københavnsområdet

    Digitaliseringsstyrelsen

    Processtærk systemforvalter til samfundskritisk it-infrastruktur

    Københavnsområdet

    BEC Financial Technologies

    Junior business analyst - Talent Program DK

    Region Sjælland

    Netcompany A/S

    Erfaren Linux Operations Engineer

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    SAP Excellence Day 2026

    It-løsninger | Nordhavn

    SAP Excellence Day 2026

    Få konkrete erfaringer med S/4HANA, automatisering og AI i praksis. Hør hvordan danske virksomheder realiserer gevinster og etablerer effektive SAP-løsninger. Vælg fysisk deltagelse hos SAP eller deltag digitalt.

    Datacenterstrategi 2026

    Infrastruktur | København

    Datacenterstrategi 2026

    Denne konference bidrager med viden om, hvordan du balancerer cloud, on-premise og hybrid infrastruktur med fokus på kontrol, compliance og forretning.

    Identity Festival 2026 - Aarhus

    Sikkerhed | Aarhus C

    Identity Festival 2026 - Aarhus

    Er du klar til en dag, der udfordrer din forståelse af, hvad Identity & Access Management kan gøre for din organisation? En dag fyldt med indsigt, inspiration og løsninger, der sætter kursen for, hvordan vi arbejder med IAM i de kommende år.

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Adeno K/S har pr. 2. februar 2026 ansat Kia Harding Martinussen som ServiceNow Expert. Hun kommer fra en stilling som Principal Consultant hos Devoteam A/S. Nyt job

    Kia Harding Martinussen

    Adeno K/S

    Alcadon ApS har pr. 1. januar 2026 ansat Per Claus Henriksen som Datacenter-specialist. Per skal især beskæftige sig med opbygning og udvikling af Alcadons datacenterforretning. Per har tidligere beskæftiget sig med forskellige facetter af datacenterbranchen. Både via PR-bureau og som ansat i datacentre. Nyt job

    Per Claus Henriksen

    Alcadon ApS

    Forte Advice har pr. 5. januar 2026 ansat Claes Frederiksen som Commercial Director. Claes skal især beskæftige sig med at løfte den kommercielle modenhed i teknologiprojekter og sikre, at teknologi bliver brugt som strategisk løftestang. Claes kommer fra en stilling som Senior Client Partnership Director, Nordics hos Valtech. Claes har tidligere beskæftiget sig med teknologivalg og platformstrategi til teknologidrevet forretningsudvikling og marketing initiativer. Nyt job

    Claes Frederiksen

    Forte Advice

    inciro K/S har pr. 1. februar 2026 ansat Lasse Fletcher som Cloud Consultant. Han skal især beskæftige sig med Governance og struktur i cloud miljøer. Han kommer fra en stilling som IT Tekniker hos CBrain A/S. Han er uddannet datatekniker med speciale i infrastruktur. Han har tidligere beskæftiget sig med kunde onboarding, Identitets styring, sikkerhed og IaC. Nyt job

    Lasse Fletcher

    inciro K/S

    Se mere fra navnenyt

    Mest læste

    1 Danmarks største fiber-selskab efter hård priskritik fra Fastspeed: Derfor hæver vi priserne
    2 Fastspeed dropper al nysalg til Danmarks største fibernet i protest: Store prisstigninger på vej
    3 NemKonto ramt af totalnedbrud i 12 timer: Alt gået i sort - nu er løsningen på benene igen
    4 Efter 15 år opdaterer Microsoft vigtig sikkerhedsfunktion på millioner af Windows-computere: Det kommer det til at betyde
    5 Omdiskuteret filformat får kraftig kritik: 'Microsoft bør grundlæggende redesigne sin kontorprogrammer'
    6 30 energifaciliteter ramt: Russisk angreb på stort europæisk land er en generalprøve, advarer Google
    7 Fejlslagen opdatering satte Energinets it-sikkerhed ud af drift i to døgn: Manglede harddiske med ekstra plads
    8 Europas nye AI-håb skovler penge ind og vil nu bygge AI-datacentre i Sverige

    Se seneste uge