Меньше багов, программисты!
Автор: Татьяна Никитина
Некоммерческая организация MITRE и институт SANS опубликовали список из 25 наиболее распространенных ошибок в программировании, которые могут сыграть на руку хакерам.
Это уже второе издание в рамках проекта CWE (Common Weakness
Enumeration), который осуществляется при поддержке американских служб
внутренней безопасности. В отличие от прочих, он не ограничивается
выявлением опасных уязвимостей в прикладном ПО, но заостряет внимание
на ошибках, которые могут привести к их появлению, и предлагает
конкретные меры по предотвращению таких ошибок.
В составлении перечня Top 25 по итогам 2009 года принимали участие
свыше 20 европейских и американских компаний, специализирующихся в
области сетевой безопасности. Отбор и оценка проводились на основе
данных по характерным ошибкам, собранных MITRE-комьюнити, и результатов анализа кибератак и уязвимостей, проведенного SANS.
При составлении рейтинга эксперты в первую очередь обращали внимание
на частотность программной ошибки и степень риска: простоту обнаружения
злоумышленником, количество злоупотреблений, трудоемкость исправления
ситуации. В итоговый список попали ошибки, которые использовались
практически во всех крупных кибератаках, проведенных за последний год.
Рейтинг возглавили те из них, что позволяют осуществлять XSS-атаки,
SQL-инъекции и вызывать переполнение буфера.
|
