Министерство национальной безопасности совместно с SANS Institute и Mitre
опубликовали список 25 главных уязвимостей этого года и выпустили новые
инструменты для измерения рисков безопасности.
Список содержит
наиболее распространенные и легко эксплуатируемые уязвимости, он был составлен
экспертами по безопасности из промышленных и научных кругов, а также
правительства. Он включает советы по обнаружению и устранению уязвимостей в
особых секторах, таких как электронная коммерция и промышленность, а также
содержит рекомендации для разработчиков как и каких ошибок следует избегать.
"SQL-инъекция является самой распространенной уязвимостью 2011 года. Для
богатых данными приложений внедрение SQL-кода является средством получения
ключей от королевства", - сообщил SANS Institute.
"Выполнение команд ОС - на втором месте. Классическое переполнение буфера на
третьем месте в списке самых важных ошибок и оно по-прежнему является
губительным даже спустя десятилетия. Межсайтовый скриптинг является бичом
множества веб-приложений и занимает четвертую позицию. Первую пятерку завершает
отсутствие аутентификации для критических функций".
Наряду со списком организации выпустили новые инструменты, разработанные для
облегчения обнаружения и устранения уязвимостей.
Common Weakness
Risk Analysis Framework (CWRAF) обеспечивает организации системой для
тестирования приложений на наличие наиболее опасных уязвимостей, с которыми есть
вероятность столкнуться.
Разработчикам и ИТ-менеджерам предназначена система
Common Weakness
Scoring System (CWSS), которая позволяет установить приоритет более важных
уязвимостей в операционных системах, приложениях и стороннем коде, а также
соответственно позволяет установить приоритетность патчей и используемых
технологий.
