Список самых опасных ошибок 2009 года по мнению Института SANS и компании MITRE
Мы уже писали как-то о
самых необычных вирусах прошедшего года, которые рассматривала лаборатория PandaLabs.
Сегодня же, хотим ознакомить Вас со списком самых опасных ошибок, которые были зафиксированы в 2009 году.
Как известно, ежегодно Институт SANS (SysAdmin, Audit, Network, Security) подготавливает рейтинг 25 самых опасных ошибок, приводящих к возникновению серьезных уязвимостей. В этом году, SANS, совместно с организацией MITRE и ведущими экспертами по компьютерной безопасности, подготовили свежий выпуск уязвимостей - так называемый "2010 CWE/SANS Top 25 Most Dangerous Programming Errors".
Координаторами проекта выступили:
- Боб Мартин (Bob Martin) (компания MITRE)
- Мэйсон Браун (Mason Brown) (компания SANS)
- Алан Паллер (Alan Paller) (компания SANS)
- Дэннис Кирби (Dennis Kirby) (компания SANS)
"2010 CWE/SANS Top 25 Most Dangerous Programming Errors" подробно разбирается каждый из 25 видов ошибок, приводятся примеры уязвимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок.
Вот всего лишь маленькая часть тех уязвимостей, о которых написали SANS (цифра вначале указывает на место в рейтинге):
- Ненадежная защита, некорректное использование, игнорирование или злоупотребление средствами защиты.
- 5: Некорректный контроль доступа (авторизации);
- 6: Доверие к непроверенному вводу при принятии решений, связанных с безопасностью. Например, излишнее доверие к содержимому cookie (кодирование прав доступа или уровня пользователя через cookie);
- 10: Отсутствие шифрования конфиденциальных данных, например, хранение номера кредитной карты в БД в открытом виде;
- 11: Задание базового пароля прямо в коде скрипта или в общедоступных файлах конфигурации;
- [[http://cwe.mitre.org/top25/#CWE-306] 19]: Отсутствие аутентификации при выполнении критических действий (например, при смене пароля, отсутствует проверка старого пароля);
- 21: Небезопасное назначение прав доступа к критически важным ресурсам, например, возможность чтения или изменения другим пользователем конфигурационных или служебных файлов;
- 24: Использование ненадежных или рискованных криптографических алгоритмов;
- Небезопасное взаимодействие между компонентами, определяет проблемы, вызванные небезопасной отправкой или получением данных между модулями, программами, процессами, нитями или системами.
- 1: Неспособность сохранения структуры web-страницы, что позволяет злоумышленнику внедрить на страницу свой скрипт или html-блок (XSS, Cross-site Scripting);
- 2: Неспособность сохранения целостной структуры SQL запроса, что может привести к подстановке злоумышленником SQL запроса (SQL Injection);
- 4: Cross-Site Request Forgery (CSRF), отсутствие проверки источника запроса, что может быть использовано злоумышленником для незаметного перенаправления авторизированного пользователя для выполнения определенных скрытых действий;
- 8: Неограниченная возможность загрузки файлов опасного типа, например, когда через форму загрузки картинки на сайт можно загрузить (и затем выполнить) ".php" скрипт;
- 9: Неспособность корректного формирования структуры запускаемого приложения, может привести к подставке кода злоумышленника при выполнении внешней команды, через определение некорректных значений, используемых в качестве параметров запускаемой программы (OS Command Injection);
- 17: Утечка сведений о системе при выводе сообщения об ошибке, например, часто в сообщении об ошибке можно видеть текущие пути или имя базы, что может быть использовано злоумышленником.
- 23: Перенаправление на вызывающий доверие сайт через некорректное использование средств переброса на другой URL в веб-приложениях (например, когда когда в скрипт локального переброса вместо "/redirect?url=form.php" передают "/redirect?url=http://example.com");
- 25: "Эффект гонки" (Race Condition), проблемы вызванные возможностью одновременного использования одного ресурса несколькими обработчиками, отсутствием атомарных операций или ненадлежащими блокировками.
Посмотреть и скачать список самых опасных ошибок 2009 года
© Root.UA
