Ошибка безопасности

Ошибка безопасности или дефект безопасности — это программная ошибка, которая может быть использована для получения несанкционированного доступа к данным или незаконных привилегий пользователей в компьютерной системе.

Ошибки безопасности приводят к уязвимостям путём компрометации:

• Аутентификации пользователей и других сущностей
• Авторизации прав доступа и привилегий
• Конфиденциальности
• Целостности информации

Классификация[править]

Ошибки безопасности обычно относятся к довольно небольшому количеству разновидностей, которые включают^[1]:

• Безопасность доступа к памяти (например, ошибки переполнения буфера и порождения висячего указателя)
• Состояние гонки
• Безопасная обработка входных и выходных данных
• Неверное использование API
• Неправильная обработка сценариев использования
• Неверная обработка исключений
• Утечка ресурсов^[en], часто, но не всегда, из-за неправильной обработки исключений

Топ 10 уязвимостей 2013 года[править]

Это такие уязвимости^[2]:

1. Внедрение кода^[en]
2. Нарушенная аутентификация и управление сеансами^[en]
3. Межсайтовый скриптинг (XSS)
4. Небезопасный доступ к объектам
5. Неправильная настройка безопасности
6. Возможный несанкционированный доступ к персональным данным
7. Отсутствие контроля доступа на функциональном уровне
8. Межсайтовая подделка запроса (CSRF)
9. Использование компонент с известными уязвимостями
10. Недопустимые перенаправления

Топ 10 уязвимостей 2017 года[править]

Это такие уязвимости^[3]:

1. Внедрение кода^[en]
2. Нарушенная аутентификация и управление сеансами^[en]
3. Возможный несанкционированный доступ к персональным данным
4. Ссылки в XML-документах
5. Недостаточный контроль доступа
6. Неправильная настройка безопасности
7. Межсайтовый скриптинг (XSS)
8. Небезопасная десериализация
9. Использование компонент с известными уязвимостями
10. Недостаточное логирование и мониторинг

См. также[править]

• Безопасное программирование
• Программная ошибка
• Уязвимость
• Эксплойт
• Уязвимость нулевого дня
• Тестирование безопасности
• Bugtraq
• OWASP
• Программа Bug Bounty

Источники[править]

Литература[править]

• Maura A. van der Linden Testing Code Security. — CRC Press, 2007. — 328 с. — ISBN 1420013793.
• Andreas Zeller Why Programs Fail: A Guide to Systematic Debugging. — Morgan Kaufmann, 2006. — 448 с. — ISBN 1-55860-866-4.

Ссылки[править]

• CWE — 2011 CWE/SANS Top 25 Most Dangerous Software Errors Common Weakness Enumeration^[en] SANS Institute^[en]англ.
• Software Quality and Software Security (2008-11-02). Проверено 28 апреля 2017.
• Top 10 2004 — OWASPангл.
• Top 10 2007 — OWASPангл.
• Top 10 2010 — OWASPангл.
• Top 10 2013-Top 10 — OWASP OWASPангл.
• Top 10 2017-Top 10 — OWASPангл.
• Мифы о безопасном ПО: уроки знаменитых катастроф | Открытые системы. СУБД | Издательство «Открытые системы»рус.
• Поиск источника сообщения об ошибке | Windows IT Pro/RE | Издательство «Открытые системы»рус.
• Что делать после обнаружения бреши в системе безопасности данных? | Мир ПК | Издательство «Открытые системы»рус.

Информационная безопасность ↑ [+]
Средства защиты от несанкционированного доступа	Права доступа • Мандатное управление доступом • Избирательное управление доступом • Управление доступом на основе ролей
Информация	Информационная безопасность • Интернет-безопасность • Безопасность сети • Каналы утечки информации • Защита информации в локальных сетях • Защита в сетях Wi-Fi • Безопасность в сетях WiMAX • Безопасность интернета вещей • Каналы утечки информации, передаваемой по оптическим линиям связи
Защита	Антивирусная программа • Межсетевой экран • Система обнаружения вторжений • Предотвращение утечек
Уязвимости	Безопасное программирование • Ошибка безопасности • Программная ошибка • Уязвимость • Эксплойт • Уязвимость нулевого дня • Тестирование безопасности • Bugtraq • OWASP • Программа Bug Bounty

Элементы программирования ↑ [+]
Библиотека	Стандартная библиотека • Пространство имён • Фреймворк • Интерфейс • API
Основные термины	Алгоритм • Псевдокод • Перегрузка операторов • Выражение • Инструкция • Операция • Отступ • Количество строк кода Подпрограмма Соглашение об именовании • Мультиметод • Callback • Функция высшего порядка • Рекурсивная функция • Обобщённое программирование • Операнд • Параметр • Полиморфизм • Перегрузка процедур и функций ООП Класс • Конструктор • Деструктор • Инкапсуляция • Наследование • Множественное наследование • Метод • Сборка мусора • Ссылка Структуры и типы данных Дерево • Символьный тип • Запись • Множество • Очередь • Список • Связный список • Стек • Свойство • Семафор • Массив • Куча • Абстрактный тип данных • Динамический массив
Исходный код	Объявление Присваивание • Указатель • Ассоциативный массив • Перечисляемый тип • Переменная • Область видимости • Глобальная переменная • Локальная переменная Порядок выполнения Ветвление (if, then, else, switch, case) • Цикл (for, while, do while, foreach) • Бесконечный цикл • goto Общие функции Конкатенация • Инкремент • Динамическое распределение памяти • Куча • printf
Категория

Компьютерная программа ↑ [+]
Компиляция	Лексический анализ • Синтаксический анализ • Исходный код • Препроцессор • Компилятор • Декомпилятор • Объектный модуль • Компоновщик • Язык ассемблера • Двоичный файл • Исполняемый файл
Ошибки	Отладчик • Исчезновение порядка • Переполнение стека • Переполнение буфера • Побочный эффект • Ошибка сегментации • Обработка исключений • Утечка памяти • Сборка мусора • Безопасность доступа к памяти • Тестирование программного обеспечения • Ошибка безопасности
Интерпретатор	Машинный код • Интерпретатор • Точка останова • Процесс • Поток выполнения • Адресация памяти • Виртуальная память • Сегментная адресация памяти • Страничная память • Подкачка страниц • Виртуальная машина • Виртуализация • Песочница
Категория