Lista mostra 25 erros de programação mais perigosos

Especialistas de mais de 30 organizações de cyber segurança internacionais elaboraram uma lista com os 25 erros de programação mais perigosos. Essa compilação aconteceu com a ajuda das organizações e a partir da colaboração de empresas como Apple, Microsoft, Oracle, Red Hat e Symantec. A organização ficou sob a responsabilidade do The Sans Institute e Mitre, com apoio da Agência Nacional de Segurança dos Estados Unidos.

Com a publicação dos erros de programação mais comuns, os participantes esperam criar um código de software e gerar mais segurança. Apenas dois desses erros geraram mais de 1,5 milhão de brechas em sites no ano passado, segundo informações do grupo.

“Trata-se de um importante passo para gerenciar a vulnerabilidade de nossas redes e tecnologia”, afirmou Tony Sager, diretor da divisão de análises de vulnerabilidade da Agência Nacional de Segurança dos Estados Unidos.

O objetivo é que a lista sirva ao menos para quatro propósitos: produzir softwares mais seguros; incorporar esses erros nas ferramentas de testes; prover informações necessárias para educadores desenvolverem técnicas de programação mais seguras; e permitir a elaboração de um guia para funcionários.

“Os dois primeiros erros da lista são a validação imprópria de input e encoding de output impróprio”, informou o editor de projetos da Mitre, Steven Christey.

“Em 2008, milhares de páginas na internet foram modificadas para servir malware por programas que entraram nos databases através de SQL injection”, disse Christey. “O ataque acontece porque os programadores cometem os mesmos erros em seus softwares. Em 2005, em um incidente envolvendo os mesmos erros, um adolescente produziu um ataque com cross-site scripting que invadiu mais de um milhão de perfis do MySpace”, completou.

A lista completa dos erros você pode acessar aqui.