|
*** Что такое Top 25 Most Dangerous Programming Errors 17 февраля 2010 г. некоммерческая организация MITRE и институт SANS опубликовали очередной список 25-ти наиболее опасных ошибок программирования – Top 25 Most Dangerous Programming Errors (Top-25 MDPE).
Top 25 Most Dangerous Programming Errors – это список наиболее широко распространенных критических ошибок программирования, которые являются серьезной угрозой безопасности программного обеспечения. Зачастую их просто найти и легко использовать. В то же время они очень опасны, так как позволяют злоумышленникам получить полный контроль над удаленным ПК или веб-ресурсом (например, осуществлять кражу конфиденциальных данных, удалять и портить файлы, и т.д. и т.п.).
Top-25 MDPE составляется и публикуется с целью уведомления и помощи программистам, – для своевременного выявления и устранения уязвимостей программного обеспечения (ПО). Обычные пользователи могут руководствоваться Top-25 MDPE для выбора более безопасного ПО. Специалисты по информационной безопасности могут использовать Top-25 MDPE для выявления опасных, но редко используемых хакерами, уязвимостей ПО. Наконец, инженеры-программисты и ИТ-менеджеры могут использовать Top-25 MDPE в качестве образца для обеспечения должного уровня безопасности ПО.
Top-25 MDPE создан в результате сотрудничества SANS Institute, MITRE и известных специалистов по информационной безопасности США и Европы. При составлении Top-25 MDPE использованы исследование SANS «20 направлений атаки» (Top 20 attack vectors) и «Всеобщий Реестр Уязвимостей» (Common Weakness Enumeration, CWE) MITRE.
MITRE, при поддержке Отдела компьютерной безопасности Департамента США по Национальной Безопасности (US Department of Homeland Security's National Cyber Security Division), содержит сайт CWE, подробно описывающий Top-25 ошибок программирования (с подробным руководством, как смягчить последствия ошибок, и как избегать их вообще). Сайт CWE содержит информацию о более чем 800 ошибках программирования, проектирования и архитектуры, которые могут привести к возникновению уязвимостей.
Впервые Top-25 MDPE был опубликован в 2009 г. В отличие от предыдущего, Top-25 MDPE 2010 не ограничивается перечислением опасных уязвимостей в прикладном программном обеспечении, но также акцентирует внимание на ошибках программирования, которые могут привести к появлению уязвимостей. Кроме того, предлагаются конкретные меры по предотвращению таких ошибок.
Координаторы проекта Top-25 MDPE: Боб Мартин (Bob Martin; MITRE), Мэйсон Браун (Mason Brown; SANS), Алан Пэллер (Alan Paller; SANS), Деннис Кирби (Dennis Kirby; SANS). Редактор: Стив Кристи (Steve Christey; MITRE).
Итак, Top 25 Most Dangerous Programming Errors:
Примечания 1. Межсайтовый скриптинг (англ. Cross-Site Scripting, XSS) – межсайтовое выполнение сценариев программного кода. Даже если программа не предназначена для работы в Интернете, как правило, она имеет дополнительный веб-интерфейс или работает с файлами формата HTML, позволяющими выполнение межсайтового скриптинга. 2. SQL-инъекция (англ. SQL Injection) – внедрение операторов SQL – вид уязвимости, при которой атакующий дополняет SQL-запрос дополнительными операторами, позволяющими повысить привилегии либо получить несанкционированный доступ к данным. Уязвимость обычно эксплуатируются через поля ввода и параметры веб-страниц, код которых не фильтрует переданные пользователем значения. 3. pathname (англ.) – составное имя; путевое имя (имя файла или каталога с указанием пути доступа к нему). 4. Буфер (англ. buffer) – буферное запоминающее устройство, предназначенное для промежуточного хранения информации (например, команд) при взаимодействии между устройствами ПК, работающими с разными скоростями (например, между центральным микропроцессором и оперативной памятью). Переполнение буфера, как правило, позволяет злоумышленнику удаленно получить административный доступ к ПК или веб-ресурсу. 5. Аутентификация (англ. authentication) – сервис контроля доступа, осуществляющий проверку регистрационной информации пользователя. 6. Редирект (от англ. redirect – переориентировать(ся); redirection – переадресация, перенаправление) – автоматическое (принудительное) перенаправление пользователя с одного веб-адреса на другой (страница-перенаправление). Редиректом также называют программное решение (скрипт), которое принудительно перенаправляет пользователя с выбранной веб-страницы на другую. 7. Race Condition (англ.; компьютерный жаргон) – состояние гонок, состязание.
Валерий Сидоров
*** • 2010 CWE/SANS Top 25 Most Dangerous Programming Errors • Top 25 Most Dangerous Programming Errors (pdf-версия) • «Всеобщий Реестр Уязвимостей» (Common Weakness Enumeration, CWE) • «20 направлений атаки» (Top 20 attack vectors)
|
|
© 2005 – 2010. All rights reserved.
При использовании материалов сайта «Слово» прошу указывать источник информации!