El CWE (Common Weakness Ennumeration) y el SANS Institute, dos organizaciones dedicadas a la seguridad informática, han publicado una lista con los 25 errores de software más comunes y peligrosos. Estos fallos permiten que los atacantes afecten a los usuarios, por ejemplo, robándoles datos o haciendo que los programas no funcionen.
Estos errores, explican en CWE, “son normalmente fáciles de encontrar y fáciles de explotar”. Además, son peligrosos “porque permitirán frecuentemente que los atacantes controlen por completo el software, roben datos o impidan que el software funcione en absoluto”. En algunos casos, no obstante, los propios trabajadores son más peligrosos que los hackers.
La lista, actualizada periódicamente, es una herramienta para advertir a los programadores, de modo que puedan prevenir las vulnerabilidades “que plagan la industria del software”.
La lista de los 25 errores más comunes ha sido elaborada por CWE, el Instituto SANS, organizaciones como MITRE, y expertos en seguridad de Europa y Estados Unidos.
En primera posición se encuentra la “neutralización inapropiada de elementos especiales utilizados en un comando SQL”. Este error es el que facilita los ataques de inyección de código.
En segundo lugar aparece la “neutralización inapropiada de elementos especiales utilizados en un comando OS”, mientras que la tercera posición la ocupa “copiar el buffer sin comprobar el tamaño del input”.
La “neutralización impropia del input durante la generación de páginas web” es el cuarto de estos errores. El quinto, por su parte, es la “falta de autentificación para funciones críticas”.
Si quieres conocer qué otros errores están entre los más comunes, en este enlace puedes encontrar la lista completa en inglés, con más información sobre los datos utilizados para la medición.