Un estudio en profundidad sobre los errores conocidos ha generado una lista de las 25 principales categorías de errores de software en la actualidad. Los que encabezan la lista tienen décadas de antigüedad, lo que nos muestra que tenemos por recorrer un largo camino hacia la creación de software de calidad.
El proyecto Common Weakness Enumeration (CWE) analizó una gran cantidad de datos de errores de la base de datos de vulnerabilidades y exposiciones comunes (CVE) como parte de su investigación. La CVE recibe miles de nuevos errores cada año, y el CWE los clasifica para ayudar a guiar el análisis y las pruebas de software.
En 2005, comenzó a recopilar estos errores en categorías, basándose en el trabajo interno de MITRE (la empresa que comenzó la lista CVE). La idea era publicar una lista estándar de debilidades de seguridad de software comunes, brindando a los desarrolladores y distribuidores de herramientas de un marco para trabajar al evaluar el software en busca de errores de seguridad.
Este es el primer CWE top 25 desde 2011, y esperábamos un análisis de los principales problemas, al estilo los cuarenta principales. Lamentablemente, eso no es realmente posible porque CWE cambió su enfoque esta vez. Reasignó los CVE a una lista más amplia de categorías. También adoptó un enfoque más centrado en los datos al analizar la base de datos National Data Vulnerability (NVD). El estudio de 2011 utilizó encuestas y entrevistas personales con desarrolladores, analistas de seguridad y proveedores.
Aún así, hay algunos hallazgos interesantes. Los defectos del búfer (categorizados como “Restricción inadecuada de operaciones dentro de los límites de un búfer de memoria”) encabezaron la lista esta vez. Esto cubre una gran variedad de problemas, incluidos los desbordamientos del búfer, que pueden conducir a la ejecución de código arbitrario, y las lecturas fuera de límites, que pueden bloquear un sistema o acceder a datos confidenciales (la lectura fuera de límites también tiene su propia entrada en quinto lugar).
Cross-site scripting ocupó el segundo lugar en la lista. El hecho de que este término, acuñado por primera vez por Microsoft en el año 2000, siga apareciendo en gran medida en los errores del mundo real muestra cuánto trabajo queda por hacer para enseñar a los desarrolladores cómo evitarlo. La lista reciente de HackerOne sobre la cantidad total de vulnerabilidades y pagos de recompensas por informar dichos fallos mostraron que XSS lidera el paquete con diferencia.
En tercer lugar, está la validación incorrecta de entradas. Este es un problema común para los desarrolladores que no piensan en todas las formas incorrectas en que las personas podrían introducir información en un sistema para manipularlo (como ingresar números negativos en un carrito de compras de comercio electrónico y acreditar su cuenta).
La cuarta fue la exposición de información, en la cual un programa revela accidentalmente datos valiosos sobre un usuario. Esto podría ser mensajes privados o archivos de configuración de programas que se supone que son privados y que podrían dar a los atacantes una forma de entrar en el sistema. Esta categoría de errores ocupó el tercer lugar en la lista de Hacker One.
La lista de CWE tiene sus propias debilidades. Este proyecto de investigación omite vulnerabilidades encontradas y reparadas por servicios internos en línea o personalizados antes de un lanzamiento público. Sin embargo, su amplitud y sus análisis basados en datos lo convierten en una buena prueba de fuego para los tipos de errores que provocan los mayores dolores de cabeza de seguridad en la actualidad.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario