개발자가 피해야 할 최악의 프로그래밍 에러 TOP 25

원문링크: http://www.sans.org/top25errors/#cat1
              http://www.boannews.com/media/view.asp?idx=13727&kind=0
              http://cwe.mitre.org/top25/

  SANS와 미트리(MITRE Corp.)가 주관한 프로젝트 ‘에러 탑 25(The Top 25 Errors)’는 보안 버그로 이어지며 사이버 스파이 행위 및 사이버 범죄를 가능케 하는 프로그래밍 에러를 선정해 벤더들이 소프트웨어가 판매되거나 설치되기 전에 에러를 제거하고자 하는 목적으로 진행되었습니다.

PDF 문서 << 링크 >>
이 보고서는 프로그래밍 에러를 크게 세 부분으로 나누고 있습니다.
C1. Insecure Interaction Between Components:  (9 error)
CWE-20: Improper Input Validation
CWE-116: Improper Encoding or Escaping of Output
CWE-89: Failure to Preserve SQL Query Structure (aka ‘SQL Injection’)
CWE-79: Failure to Preserve Web Page Structure (aka ‘Cross-site Scripting’)
CWE-78: Failure to Preserve OS Command Structure (aka ‘OS Command Injection’)
CWE-319: Cleartext Transmission of Sensitive Information
CWE-352: Cross-Site Request Forgery (CSRF)
CWE-362: Race Condition
CWE-209: Error Message Information Leak

C2. Risky Resource Management:  (9 error)
CWE-119: Failure to Constrain Operations within the Bounds of a Memory Buffer
CWE-642: External Control of Critical State Data
CWE-73: External Control of File Name or Path
CWE-426: Untrusted Search Path
CWE-94: Failure to Control Generation of Code (aka ‘Code Injection’)
CWE-494: Download of Code Without Integrity Check
CWE-404: Improper Resource Shutdown or Release
CWE-665: Improper Initialization
CWE-682: Incorrect Calculation

C3. Porous Defenses (7 error)   (사용자 보안 확인과 인증 절차에서의 취약점)
CWE-285: Improper Access Control (Authorization)
CWE-327: Use of a Broken or Risky Cryptographic Algorithm
CWE-259: Hard-Coded Password
CWE-732: Insecure Permission Assignment for Critical Resource
CWE-330: Use of Insufficiently Random Values
CWE-250: Execution with Unnecessary Privileges
CWE-602: Client-Side Enforcement of Server-Side Security

이 번 조사의 공동 주관 단체인 SANS는 이 보고서가 취약점을 생성하는 개발자들에 의한 실제 프로그래밍 에러에 초점을 맞췄다고 언급했습니다.  SANS 소장 메이슨 브라운(Mason Brown)은 “이제 (프로그래밍 에러들을) 수정할 때가 왔다”며 “우선, 모든 프로그래머들이 에러 탑 25에서 벗어난 코드를 작성하는 법을 알아야만 하며, 모든 프로그래밍 팀은 문제를 발견하고 수정, 또는 피할 수 있는 프로세스를 갖추고 이러한 에러들로부터 벗어난 그들의 코드를 인증하기 위한 툴을 갖춰야만 한다”고  말했다고 합니다.