Компьютерные эксперты из 30 организаций со всего света в очередной раз
составили список из 25 самых опасных программных ошибок, не забыв при этом
порекомендовать способы их недопущения. В целом рекомендации сводятся к одному –
необходимо еще на стадии подписания контрактов прописывать ответственность
разработчиков за наличие багов.

Новый список
поразительно похож на тот, что был опубликован
в
прошлом году
, когда эксперты по безопасности по всему миру достигли
формального соглашения о том, какие баги считать самыми опасными и
распространенными. Цель проекта – привлечь внимание к незаметным на первый
взгляд ошибкам, из-за наличия которых впоследствии и проявляются различные
уязвимости.

  1. Failure to Preserve Web Page Structure (‘Cross-site Scripting’)
  2. Improper Sanitization of Special Elements used in an SQL Command (‘SQL
    Injection’)
  3. Buffer Copy without Checking Size of Input (‘Classic Buffer Overflow’)
  4. Cross-Site Request Forgery (CSRF)
  5. Improper Access Control (Authorization)
  6. Reliance on Untrusted Inputs in a Security Decision
  7. Improper Limitation of a Pathname to a Restricted Directory (‘Path
    Traversal’)
  8. Unrestricted Upload of File with Dangerous Type
  9. Improper Sanitization of Special Elements used in an OS Command (‘OS
    Command Injection’)
  10. Missing Encryption of Sensitive Data
  11. Use of Hard-coded Credentials
  12. Buffer Access with Incorrect Length Value
  13. Improper Control of Filename for Include/Require Statement in PHP
    Program (‘PHP File Inclusion’)
  14. Improper Validation of Array Index
  15. Improper Check for Unusual or Exceptional Conditions
  16. Information Exposure Through an Error Message
  17. Integer Overflow or Wraparound
  18. Incorrect Calculation of Buffer Size
  19. Missing Authentication for Critical Function
  20. Download of Code Without Integrity Check
  21. Incorrect Permission Assignment for Critical Resource
  22. Allocation of Resources Without Limits or Throttling
  23. Redirection to Untrusted Site (‘Open Redirect’)
  24. Use of a Broken or Risky Cryptographic Algorithm
  25. Race Condition

Среди составителей списка значатся некоммерческая организация MITRE, Sans
Institute, Агентство национальной безопасности США и подразделение национальной
киберзащиты, входящее в структуру Министерства внутренней безопасности
Соединенных Штатов. Возглавляют распространяемый ими перечень такие известные
проблемы, как межсайтовый скриптинг (XSS), SQL-инъекции и ошибки, связанные с
переполнением буфера.

Наличие 25 приведенных авторами ошибок сделало возможным проведение
практически всех крупных кибератак в современной истории, включая знаменитую
атаку на Google и еще 33 крупных компании. Эти же бреши стали причиной
многочисленных взломов военных компьютерных систем, а также миллионов
компьютеров малых предприятий и простых пользователей.

Оставить мнение