Институт SANS (SysAdmin, Audit, Network,
Security), совместно с организацией MITRE и ведущими экспертами по
компьютерной безопасности, подготовил
новую редакцию рейтинга 25 самых опасных ошибок, приводящих к
возникновению серьезных уязвимостей. Рейтинг построен на основе анализа
уязвимостей, обнаруженных в течение 2010 года. Ошибки были отобраны с
учетом их распространенности, трудоемкости обнаружения и простоты
эксплуатации уязвимости. В опубликованном документе подробно разбирается
каждый из 25 видов ошибок, приводятся примеры уязвимостей и
рекомендации для разработчиков по предотвращению появления подобных
ошибок.
Степень важности ошибки определена с учетом легкости обнаружения
проблемы, простоты эксплуатации уязвимости и степени опасности в случае
поражения системы (например, полный контроль над ОС, утечка данных или
вызов отказа в обслуживании). По сравнению с прошлогодним рейтингом, в
этом году ошибки, приводящие к подстановке SQL-запроса, обогнали по
степени важности проблемы, связанные с запуском команд злоумышленника
через подстановку некорректных аргументов при вызове внешних команд. Из
добавленных в очередном рейтинге ошибок, актуальность которых возросла в
последнее время, отмечаются проблемы с некорректной проверкой
параметров авторизации, ошибки форматирования строк, использование
потенциально опасных функций, отсутствие ограничения попыток
авторизации, предоставление излишних привилегий и некорректный расчет
хэшей.
Общий рейтинг:
