Министерство национальной безопасности совместно с SANS Institute и Mitre
опубликовали список 25 главных уязвимостей этого года и выпустили новые
инструменты для измерения рисков безопасности.

Список содержит
наиболее распространенные и легко эксплуатируемые уязвимости, он был составлен
экспертами по безопасности из промышленных и научных кругов, а также
правительства. Он включает советы по обнаружению и устранению уязвимостей в
особых секторах, таких как электронная коммерция и промышленность, а также
содержит рекомендации для разработчиков как и каких ошибок следует избегать.

"SQL-инъекция является самой распространенной уязвимостью 2011 года. Для
богатых данными приложений внедрение SQL-кода является средством получения
ключей от королевства", — сообщил SANS Institute.

"Выполнение команд ОС — на втором месте. Классическое переполнение буфера на
третьем месте в списке самых важных ошибок и оно по-прежнему является
губительным даже спустя десятилетия. Межсайтовый скриптинг является бичом
множества веб-приложений и занимает четвертую позицию. Первую пятерку завершает
отсутствие аутентификации для критических функций".

Наряду со списком организации выпустили новые инструменты, разработанные для
облегчения обнаружения и устранения уязвимостей.
Common Weakness
Risk Analysis Framework
(CWRAF) обеспечивает организации системой для
тестирования приложений на наличие наиболее опасных уязвимостей, с которыми есть
вероятность столкнуться.

Разработчикам и ИТ-менеджерам предназначена система
Common Weakness
Scoring System
(CWSS), которая позволяет установить приоритет более важных
уязвимостей в операционных системах, приложениях и стороннем коде, а также
соответственно позволяет установить приоритетность патчей и используемых
технологий.



Оставить мнение