De 10 domste security fouten die programmeurs maken
Het Open Web Application Security Project (OWASP) heeft een Top10 online gezet met de domste security fouten die programmeurs maken. Het doel van deze lijst is het belang van security bij bedrijven en overheid te onderstrepen, en de security van websites en webservices te verbeteren. De Top10:
1 - Unvalidated Parameters
2 - Broken Access Control
3 - Broken Account and Session Management
4 - Cross-Site Scripting (XSS) Flaws
5 - Buffer Overflows
6 - Command Injection Flaws
7 - Error Handling Problems
8 - Insecure Use of Cryptography
9 - Remote Administration Flaws
10 - Web and Application Server Misconfiguration
Een uitleg van de 10 domste fouten staat op deze pagina.
Kort samengevat, er wordt slecht getest. Fouten van programmeurs behoren afgevangen te worden door QA.
Lijkt me toch dat hier het adagium: 'Voorkomen is beter dan genezen' van groter belang is dan de werkzaamheden van de QA... :)
Dit onderzoek lijkt me voer voor IT-opleidingen en managers bij IT-bedrijven die verantwoordelijk zijn voor de opleiding van hun programmeurs.
Een QA afdeling zou er in principe moeten zijn om het afwezig zijn van fouten te constateren, en niet om alle fouten eruit te halen zoals YT meldt... want dat is trouwens ook onmogelijk.
Groet,
PGR
Een QA afdeling zou er in principe moeten zijn om het afwezig zijn van fouten te constateren, en niet om alle fouten eruit te halen zoals YT meldt... want dat is trouwens ook onmogelijk.
Programmeurs die geen fouten maken vindt je alleen in een paradijs (waarschijnlijk naast de QA officers die /alle/ fouten uit software weten te halen). Hier op aarde kan een QA afdeling met een goed testplan veel voorkomende fouten zoals ze genoemd zijn boven water halen. Het vinden van security holes is vaak zo simpel als het QA werk opnieuw/alsnog doen en daarbij de grenzen van de software verkennen. In de praktijk wordt er echter te weinig aan QA gedaan en als het al uitgevoerd wordt, zijn het meestal de programmeurs die de software zelf testen. Voor QA dien je echter op een andere wijze te redeneren dan een programmeur.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.