WikiSort.ru - Программирование

Эта статья предлагается к удалению. Пояснение причин и соответствующее обсуждение вы можете найти на странице Википедия:К удалению/27 мая 2017. Пока процесс обсуждения не завершён, статью можно попытаться улучшить, однако следует воздерживаться от переименований или немотивированного удаления содержания, подробнее см. руководство к дальнейшему действию. Не снимайте пометку о выставлении на удаление до окончания обсуждения. Последнее изменение сделано участником Oleg3280 (вклад, журналы) в 20:44, 24 декабря 2018 (UTC; около 67 дней назад). Администраторам: ссылки сюда, история, журналы, удалить.

Оши́бка безопа́сности или дефе́кт безопасности — это программная ошибка, которая может быть использована для получения несанкционированного доступа к данным или незаконных привилегий пользователей в компьютерной системе.

Ошибки безопасности приводят к уязвимостям путём компрометации:

• Аутентификации пользователей и других сущностей
• Авторизации прав доступа и привилегий
• Конфиденциальности
• Целостности информации

Классификация

Ошибки безопасности обычно относятся к довольно небольшому количеству разновидностей, которые включают^[1]:

• Безопасность доступа к памяти (например, ошибки переполнения буфера и порождения висячего указателя)
• Состояние гонки
• Безопасная обработка входных и выходных данных
• Неверное использование API
• Неправильная обработка сценариев использования
• Неверная обработка исключений
• Утечка ресурсов^[en], часто, но не всегда, из-за неправильной обработки исключений

Топ 10 уязвимостей 2013 года

Это такие уязвимости^[2]:

1. Внедрение кода^[en]
2. Нарушенная аутентификация и управление сеансами^[en]
3. Межсайтовый скриптинг (XSS)
4. Небезопасный доступ к объектам
5. Неправильная настройка безопасности
6. Возможный несанкционированный доступ к персональным данным
7. Отсутствие контроля доступа на функциональном уровне
8. Межсайтовая подделка запроса (CSRF)
9. Использование компонент с известными уязвимостями
10. Недопустимые перенаправления

Топ 10 уязвимостей 2017 года

Это такие уязвимости^[3]:

1. Внедрение кода^[en]
2. Нарушенная аутентификация и управление сеансами^[en]
3. Возможный несанкционированный доступ к персональным данным
4. Ссылки в XML-документах
5. Недостаточный контроль доступа
6. Неправильная настройка безопасности
7. Межсайтовый скриптинг (XSS)
8. Небезопасная десериализация
9. Использование компонент с известными уязвимостями
10. Недостаточное логирование и мониторинг

См. также

• Безопасное программирование
• Программная ошибка
• Уязвимость
• Эксплойт
• Уязвимость нулевого дня
• Тестирование безопасности
• Bugtraq
• OWASP
• Программа Bug Bounty

Примечания

Литература

• Maura A. van der Linden. Testing Code Security. — CRC Press, 2007. — 328 с. — ISBN 1420013793.
• Andreas Zeller. Why Programs Fail: A Guide to Systematic Debugging. — Morgan Kaufmann, 2006. — 448 с. — ISBN 1-55860-866-4.

Ссылки

• CWE — 2011 CWE/SANS Top 25 Most Dangerous Software Errors Common Weakness Enumeration^[en] SANS Institute^[en] (англ.)
• Software Quality and Software Security (неопр.) (2 ноября 2008).
• Top 10 2004 — OWASP (англ.)
• Top 10 2007 — OWASP (англ.)
• Top 10 2010 — OWASP (англ.)
• Top 10 2013-Top 10 — OWASP OWASP (англ.)
• Top 10 2017-Top 10 — OWASP (англ.)
• Мифы о безопасном ПО: уроки знаменитых катастроф | Открытые системы. СУБД | Издательство «Открытые системы» (рус.)
• Поиск источника сообщения об ошибке | Windows IT Pro/RE | Издательство «Открытые системы» (рус.)
• Что делать после обнаружения бреши в системе безопасности данных? | Мир ПК | Издательство «Открытые системы» (рус.)