Linux Forum Казахстан

Общий => Новости => Тема начата: Zhek@Ch от 01 Июля 2011, 21:42

Название: Самые опасные ошибки при создании программ
Отправлено: Zhek@Ch от 01 Июля 2011, 21:42
Институт SANS (SysAdmin, Audit, Network, Security), совместно с организацией MITRE и ведущими экспертами по компьютерной безопасности, подготовил (http://cwe.mitre.org/top25/index.html) новую редакцию рейтинга 25 самых опасных ошибок, приводящих к возникновению серьезных уязвимостей. Рейтинг построен на основе анализа уязвимостей, обнаруженных в течение 2010 года. Ошибки были отобраны с учетом их распространенности, трудоемкости обнаружения и простоты эксплуатации уязвимости. В опубликованном документе подробно разбирается каждый из 25 видов ошибок, приводятся примеры уязявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок.

Степень важности ошибки определена с учетом легкости обнаружения проблемы, простоты эксплуатации уязвимости и степени опасности в случае поражения системы (например, полный контроль над ОС, утечка данных или вызов отказа в обслуживании). По сравнению с прошлогодним рейтингом, в этом году ошибки, приводящие к подстановке SQL-запроса, обогнали по степени важности проблемы, связанные с запуском команд злоумышленника через подстановку некорректных аргументов при вызове внешних команд. Из добавленных в очередном рейтинге ошибок, актуальность которых возросла в последнее время, отмечаются проблемы с некорректной проверкой параметров авторизации, ошибки форматирования строк, использование потенциально опасных функций, отсутствие ограничения попыток авторизации, предоставление излишних привилегий и некорректный расчет хэшей.

Общий рейтинг:

Проблемы в рейтинге разделены на три категории:

# opennet.ru (http://www.opennet.ru/opennews/art.shtml?num=31061)