Site de communication et d'échange d'informations (techniques & pédagogiques) entre les formateurs E.I.Te et les clients ou prospects
Comme chaque année, le CWE vient de publier la liste des 25 erreurs de programmation les plus dangereuses pour l'intégrité de vos systèmes ou de vos applications. Si toutes ces vulnérabilités ne s'appliquent pas forcément au développement Web, elles sont tout de même intéressantes à étudier, ne serait-ce que pour se former aux bonnes pratiques de développement.
Mauvaises interactions entre les composants
Ces vulnérabilités concernent les manières dont les données sont envoyées et reçues par des composants, modules, programmes, processus, threads ou systèmes.
1. Mauvais filtrage des données envoyées par les utilisateurs.
2. Mauvais encodage ou échappement des données en sortie.
3. Injections SQL.
.....
8. Divulgation d'informations dans les messages d'erreur (comme le PATH dans lequel est installée votre application Web).
Mauvaise gestion des ressources
Ces vulnérabilités concernent la manière dont les applications ne gèrent pas correctement la création, l'utilisation, le transfert et la destruction des ressources systèmes.
1. Buffer overflow.
2. Modifications externes de données d'état.
3. ....
9. Erreurs de calcul (off by one, division par zéro).
Mauvaises protections
Il s'agit de modes de protection souvent mal utilisés, contournés, ou purement ignorés par les développeurs.
1. Absence d'ACL.
2. Utilisation d'un algorithme de chiffrement cassé.
....
6. Prise des mesures de sécurité côté client.
Voilà, c'est tout, avec, peut-être, à l'avenir, des articles distincts sur chacune de ces vulnérabilités, si vous êtes suffisamment nombreux à être intéressés.
Tout l'article sur Le Journal du net :
http://www.journaldunet.com/developpeur/algo-methodes/actualite/les-25-erreurs-de-programmation-les-plus-dangereuses.shtml