CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon

Web-programmørens ti mest hyppige fejl

Manglende validering af input fra web hører mellem de mest almindelige skavanker i web-programmørernes arbejde. Det viser en liste fra Open Web Application Security Project.

20. januar 2003 kl. 14.55
Magnus Bredsdorff Magnus Bredsdorff

Organisationen Web Application Security Project har skrevet en liste over de ti mest almindelige fejl, som programmørerne bag alverdens websteder begår. Det skriver sikkerhedsorganisationen DK-CERT på sin hjemmeside.



Organisationen bag top ti-listen argumenterer for, at prgrammørerne skal være lige så omhyggelige med sikkerheden på et websted som med konfigurationen af virksomhedens firewall.



Ifølge DK-CERT har flere af fejlene på listen at gøre med mangelfuld validering af input. Det betyder, at angriberne kan liste sig ind bag de sårbare applikationer ved at skrive kommandoer i browserens adressefelt.



Andre fejl opstår, fordi systemadministratorerne ikke er tilstrækkeligt omhyggelige med at begrænse adgangen til de data, som de almindelige web-brugere ikke skal se.



Her følger Open Web Application Security Projects top ti over de mest almindelige fejl, som programmørerne begår, i DK-CERT's oversættelse og bearbejdning:
















































Top ti over sikkerhedsfejl i web-applikationer
Uvaliderede parametre Information fra web-forespørgsler valideres ikke, før web-applikationen anvender den.
Mangelfuld adgangskontrol Begrænsningerne for, hvad godkendte og anonyme brugere har lov til, håndhæves ikke.
Fejl i styring af konti og sessioner Brugernavne, adgangskoder og cookies kan misbruges.
Cross-site scripting-sårbarheder Web-applikationen kan bruges som middel til at transportere angrebskode over på brugerens pc via browseren.
Bufferoverløb Visse programmeringssprog tillader bufferoverløb og kan få program­komponenter til at gå ned eller give mulighed for at få afviklet kode.
Kommando-indsætningsfejl Web-applikationer kan videregive parametre, når de kommunikerer med andre applikationer eller operativsystemet. Hvis kommandoer kan indlejres i disse parametre, kan angribere få dem udført.
Fejlhåndteringsproblemer Fejl behandles ikke korrekt. Dermed kan angribere få viden om et systems opbygning.
Usikker brug af kryptering Krypteringssystemer kan være svære at bruge og installere korrekt.
Administration via fjernstyring Hvis administrator får adgang til serveren via fjernstyring, kan den misbruges af angribere, hvis den ikke er beskyttet ordentligt.
Fejlkonfiguration af web- og applikationsserver Mange servere leveres med en usikker standardkonfiguration.

Kilde: Open Web Application Security Project




Navnenyt fra it-danmarkVis alle »
Patrick Hoff Sonne
Patrick Hoff Sonne
Rasmus Thau
Rasmus Thau
Jørgen Olsen
Jørgen Olsen
Julie Momsen Fredslund
Julie Momsen Fredslund

Kim Helsted
Kim Helsted
Alexander Lønborg Pálsson
Alexander Lønborg Pálsson
Dorthe Krøgh
Dorthe Krøgh
Jacob Davidsen
Jacob Davidsen


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Industry 4.0 – sådan udnytter du AI og digitalisering til optimering af din produktion.

På denne konference fokuserer på en digitaliseret optimering af processer i produktions- og procesorienterede virksomheder. Herved bliver du f.eks. i stand til at kombinere maskiner med sales forecasting og derved planlægge anvendelsen af produktionsapparat og medarbejderallokering effektivt – samt begrænse materialespild og nedetid ved at optimere produktionsplanlægning og omstilling af produktionsmateriel.

04. september 2024 | Læs mere

Roundtable for sikkerhedsansvarlige: Hvordan opnår man en robust sikkerhedsposition?

For mange virksomheder har Zero Trust og dets principper transformeret traditionelle tilgange til netværkssikkerhed, hvilket har gjort det muligt for organisationer at opnå hidtil usete niveauer af detaljeret kontrol over deres brugere, enheder og netværk - men hvordan implementerer man bedst Zero Trust-arkitekturer i et enterprise set up? Og hvordan muliggør Zero Trust-arkitekturen, at organisationer opnår produktivitetsfordele med AI-værktøjer samtidig med, at de forbliver sikre i lyset af fremvoksende trusler?

18. september 2024 | Læs mere

Nye forretningsmæssige gevinster med Microsoft Dynamics 365

Eksperter fra CGI stiller skarpt på hvordan, du lærer også hvorfor det er vigtigt at have fokus på både processer, teknologi og mennesker - og hvordan du kommer i gang med løbende optimering af forretningsudvikling.

25. september 2024 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Andreas Christensen
Andreas Christensen
Mogens Sejer Iversen
Mogens Sejer Iversen
Erik David Johnson
Erik David Johnson
Mogens Nørgaard
Mogens Nørgaard
Jonathan Løw
Jonathan Løw
Daniel Listh
Daniel Listh
Mogens Nørgaard
Mogens Nørgaard
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaards kæmpe-comeback: ENDELIG får vi et ministerium for civilforsvar - og et ægte digitaliseringsministerium UDEN ligestilling
Læs indlæg
Artikel teaser billede

Andreas Christensen

Vil AI styrke eller true fremtidens it-sikkerhed?

Artikel teaser billede

Mogens Sejer Iversen

Jeg springer ud og går til bekendelse: Jeg synes, at Copilot til MS365 er et ufærdigt produkt

Artikel teaser billede

Erik David Johnson

Derfor bør du ikke lave din egen sprogmodel - der er andre og meget bedre muligheder

Artikel teaser billede

Mogens Nørgaard

Nørgaards nye vikar: Agile projekter tager i gennemsnit 50% længere tid end før vi skiftede

Mest læste klummer og blogs
Nørgaards kæmpe-comeback: ENDELIG får vi et ministerium for civilforsvar - og et ægte digitaliseringsministerium UDEN ligestilling
Klumme: Vi skal denne gang KUN tale om den største regering, de største bikse og den største revolution.
Af: Mogens Nørgaard
Nørgaards nye vikar: Agile projekter tager i gennemsnit 50% længere tid end før vi skiftede
Klumme: Jeg sidder i øjeblikket på mit sædvanlige sæde C70 i CX710 på vej tilbage til Hong Kong, hvor jeg arbejder på et lille projekt der skal skifte en 40+ år gammel en core-banking platform ud med en mere moderne og fleksibel udgave. Og selvfølgelig kører det Agile med Scrum og hele moletjavsen
Af: Mogens Nørgaard
Derfor bør du ikke lave din egen sprogmodel - der er andre og meget bedre muligheder
Klumme: For de fleste virksomheder og organisationer vil det give bedst mening at udvide den eksisterende sprogmodel sammen med ens egne sproglige data, således at den hovedsageligt svarer ud fra ens egen vidensbase, men samtidigt bevarer den styrke, der ligger i den generelle sprogmodel.
Af: Erik David Johnson
Mogens Sejer Iversen
opinion
Mogens Sejer Iversen
Jeg springer ud og går til bekendelse: Jeg synes, at Copilot til MS365 er et ufærdigt produkt
opinion Jonathan Løw
At mislykkes på en ekstraordinært god måde
Læs indlæg

Premium
Teaser billede
Danmarks to store it-styrelser skal reduceres markant: Skal samlet sige farvel til hver fjerde stilling i de kommende år
Læs mere »
Nu når en af Danmarks helt store GDPR-retssager til vejs ende: Står over for bødekrav på 800.000 kroner
Regeringen vil reducere bevilling til Datatilsynet med millioner: Skal bruge væsentligt færre penge på løn og tilsyn
Selskab med 40.000 ansatte dropper VMware efter ballade - vælger anden løsning
Se alle »
Computerworld
Teaser billede
Næste måned skifter din iPhones Apple-id til et nyt navn
Læs mere »
Nærmest selvkørende: Jeg kørte fra Roskilde til København uden at røre rattet
Test: Denne laptop rammer plet - er utrolig slank men alligevel utrolig stærk
Test af Tesla Model 3 Performance: Aldrig har man fået så meget sportsvogn til så få penge
Se alle »
CIO
Teaser billede
Professor: "Det er på høje tid at opløse virksomhedernes it-afdelinger"
Læs mere »
DSB køber cloud-løsning til 420 millioner kroner af hollandsk it-selskab: Skal afløse 30 år gammelt system
Topchef: Public cloud er alt for dyrt og besværligt - fremtiden for virksomhederne er et helt andet sted
Detailkæde har mistet over 65 millioner kroner efter cyberangreb – kræver erstatning fra it-leverandør
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
KMD-direktør forlader selskabet: Det skal hun nu
Professor: "Det er på høje tid at opløse virksomhedernes it-afdelinger"
Til åbningsfest i det nye NNIT-hovedkontor: ”Som at flytte til New York sammenlignet med der hvor vi kommer fra” - se billederne
Se alle »
White paper
Teaser billede
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Læs mere »
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
Informationshåndtering på frontlinjen: Sådan optimerer du med automatisering
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »