Top 3 de erros de programação

O SANS Institute fez uma análise das vulnerabilidades publicadas em 2006 para apurar quais os erros de programação que geram mais vulnerabilidades. O top 3 é:

1- Falta de validação e sanitização de input.
O erro está na base das principais vulnerabilidades encontradas em aplicações web: inclusão remota de ficheiros, execução de comandos remotos, SQL injection, cross site scripting (aka XSS)

2- Permitir que dados excedam o limite de um buffer.
O erro permite buffer overflows. Palavras para quê.

3- Tratamento incorrecto de inteiros.
Levou a uma série de vulnerabilidades críticas em serviços online.

IMHO, os dois primeiros são incontestáveis. Já o 3º é mais interessante aparecer num top 3. É também particularmente preocupante pois a semântica dos inteiros em linguagens como o C não é trivial nem muito portável (aliás, como se pode ver no artigo).

A press release do SANS Institute: http://www.sans-ssi.org/top_three.pdf