• Партнер

  • Большинство уязвимостей, которые хакеры используют при атаках на веб-сайты и
    корпоративные серверы, являются следствием распространенных и хорошо известных
    ошибок программирования.

    В понедельник группа из 35 уважаемых организаций, в число которых вошли
    Microsoft, Symantec, Министерство национальной безопасности США (DHS) и
    подразделение по защите информации Агентства национальной безопасности,
    опубликовала список из 25 самых серьезных ошибок, допускаемых при кодировании.
    Координаторами этой инициативы выступили SANS Institute и спонсируемый из
    федерального бюджета научно-исследовательский центр MITRE.

    Список подразделяется на три класса, в каждом из которых перечислены сходные
    по типу ошибки. Первые девять из них попадают в категорию "небезопасного
    взаимодействия между компонентами", вторые девять – в раздел "рискованного
    управления ресурсами", а оставшимся, по мнению авторов, присуща "проницаемая
    защита".

    Недочеты выстроены в списке исходя из частоты упоминания и серьезности
    последствий для безопасности.

    Две верхних строчки в рейтинге занимают недоработки, связанные с неподобающей
    проверкой вводимых значений и кодировкой вывода. В числе прочих перечислены
    ошибки в защите SQL-запросов и структуры веб-страниц, приводящие к SQL-инъекциям
    и уязвимостям межсайтового скриптинга. Упоминается также и об ошибках
    переполнения буфера и слишком подробных сообщениях о причинах возникновения
    сбоев. Ознакомиться с рейтингом можно на странице
    www.sans.org/top25.

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии