脆弱性の原因となるプログラムの間違いランキング

SANS InstituteとMITREが脆弱性の原因となるプログラムの間違いを纏めたランキングを発表しています。
一般に公開するウェブアプリケーションを作っているエンジニアは一読の価値がありそうです。

もっとも危ないプログラミングエラー25、 16 | エンタープライズ | マイコミジャーナル

CWE - 2010 CWE/SANS Top 25 Most Dangerous Programming Errorsにおいて脆弱性の原因となる危険なプログラミングエラー25が発表された。開発者にセキュリティ問題の原因となるプログラミングに関する注意を促し、実際にソフトウェアが動作する前の段階で問題を発見し対処できるようにすることを目指したもの。2009年に発表されたリストの更新版にあたり、内容の多くが更新されている。2009年版を使っていた場合には、今回発表された2010年版を再度検討する価値がある。

Top3は「クロスサイトスクリプティング」「SQLインジェクション」「Bufferオーバーフロー」という脆弱性の御三家みたいなものなので、そこまで目新しい感じはしませんが、やはり基本的な部分が危ないということなんでしょうね。

† もっとも危ないプログラミングエラー2009のTop10

1. (CWE-79) クロスサイトスクリプティング
2. (CWE-89) SQLインジェクション
3. (CWE-120) Bufferオーバーフロー
4. (CWE-352) クロスサイトリクエストフォージェリ(CSRF)
5. (CWE-285) 不正アクセス制御
6. (CWE-807) 不正入力値に対処していないことに起因する脆弱性
7. (CWE-22) ディレクトリトラバーサル
8. (CWE-434) アップロートファイルに制限を設けないことに起因する脆弱性
9. (CWE-78) OSコマンドインジェクション
10. (CWE-311) 重要データを暗号化していない起因する脆弱性

ちなみに上記のCWE（Common Weakness Enumeration）は共通脆弱性タイプ一覧と呼ばれるもので、JVNなどにも採用されているようです。日本語の「情報処理推進機構：情報セキュリティ：共通脆弱性タイプ一覧CWE概説」という資料もIPAにありますね。