Контакты
Подписка
МЕНЮ
Контакты
Подписка

SANS опубликовал Top-25 самых опасных ошибок программирования

SANS опубликовал Top-25 самых опасных ошибок программирования

SANS опубликовал Top-25 самых опасных ошибок программирования


13.01.2009

Большинство уязвимостей, которые хакеры используют при атаках на веб-сайты и корпоративные серверы, являются следствием распространенных и хорошо известных ошибок программирования.

В понедельник группа из 35 уважаемых организаций, в число которых вошли Microsoft, Symantec, Министерство национальной безопасности США (DHS) и подразделение по защите информации Агентства национальной безопасности, опубликовала список из 25 самых серьезных ошибок, допускаемых при кодировании. Координаторами этой инициативы выступили SANS Institute и спонсируемый из федерального бюджета научно-исследовательский центр MITRE.

Список подразделяется на три класса, в каждом из которых перечислены сходные по типу ошибки. Первые девять из них попадают в категорию "небезопасного взаимодействия между компонентами", вторые девять – в раздел "рискованного управления ресурсами", а оставшимся, по мнению авторов, присуща "проницаемая защита".

Недочеты выстроены в списке исходя из частоты упоминания и серьезности последствий для безопасности.

Две верхних строчки в рейтинге занимают недоработки, связанные с неподобающей проверкой вводимых значений и кодировкой вывода. В числе прочих перечислены ошибки в защите SQL-запросов и структуры веб-страниц, приводящие к SQL-инъекциям и уязвимостям межсайтового скриптинга. Упоминается также и об ошибках переполнения буфера и слишком подробных сообщениях о причинах возникновения сбоев.

Источник: xakep.ru
www.xakep.ru