Ошибка безопасности
Ошибка безопасности или дефект безопасности — это программная ошибка, которая может быть использована для получения несанкционированного доступа к данным или незаконных привилегий пользователей в компьютерной системе.
Ошибки безопасности приводят к уязвимостям путём компрометации:
- Аутентификации пользователей и других сущностей
- Авторизации прав доступа и привилегий
- Конфиденциальности
- Целостности информации
Классификация[править]
Ошибки безопасности обычно относятся к довольно небольшому количеству разновидностей, которые включают[1]:
- Безопасность доступа к памяти (например, ошибки переполнения буфера и порождения висячего указателя)
- Состояние гонки
- Безопасная обработка входных и выходных данных
- Неверное использование API
- Неправильная обработка сценариев использования
- Неверная обработка исключений
- Утечка ресурсов[en], часто, но не всегда, из-за неправильной обработки исключений
Топ 10 уязвимостей 2013 года[править]
Это такие уязвимости[2]:
- Внедрение кода[en]
- Нарушенная аутентификация и управление сеансами[en]
- Межсайтовый скриптинг (XSS)
- Небезопасный доступ к объектам
- Неправильная настройка безопасности
- Возможный несанкционированный доступ к персональным данным
- Отсутствие контроля доступа на функциональном уровне
- Межсайтовая подделка запроса (CSRF)
- Использование компонент с известными уязвимостями
- Недопустимые перенаправления
Топ 10 уязвимостей 2017 года[править]
Это такие уязвимости[3]:
- Внедрение кода[en]
- Нарушенная аутентификация и управление сеансами[en]
- Возможный несанкционированный доступ к персональным данным
- Ссылки в XML-документах
- Недостаточный контроль доступа
- Неправильная настройка безопасности
- Межсайтовый скриптинг (XSS)
- Небезопасная десериализация
- Использование компонент с известными уязвимостями
- Недостаточное логирование и мониторинг
См. также[править]
- Безопасное программирование
- Программная ошибка
- Уязвимость
- Эксплойт
- Уязвимость нулевого дня
- Тестирование безопасности
- Bugtraq
- OWASP
- Программа Bug Bounty
Источники[править]
Литература[править]
- Maura A. van der Linden Testing Code Security. — CRC Press, 2007. — 328 с. — ISBN 1420013793.
- Andreas Zeller Why Programs Fail: A Guide to Systematic Debugging. — Morgan Kaufmann, 2006. — 448 с. — ISBN 1-55860-866-4.
Ссылки[править]
- CWE — 2011 CWE/SANS Top 25 Most Dangerous Software Errors Common Weakness Enumeration[en] SANS Institute[en](англ.)
- Software Quality and Software Security (2008-11-02). Проверено 28 апреля 2017.
- Top 10 2004 — OWASP(англ.)
- Top 10 2007 — OWASP(англ.)
- Top 10 2010 — OWASP(англ.)
- Top 10 2013-Top 10 — OWASP OWASP(англ.)
- Top 10 2017-Top 10 — OWASP(англ.)
- Мифы о безопасном ПО: уроки знаменитых катастроф | Открытые системы. СУБД | Издательство «Открытые системы»(рус.)
- Поиск источника сообщения об ошибке | Windows IT Pro/RE | Издательство «Открытые системы»(рус.)
- Что делать после обнаружения бреши в системе безопасности данных? | Мир ПК | Издательство «Открытые системы»(рус.)
↑ [+] | |
---|---|
Компиляция |
Лексический анализ • Синтаксический анализ • Исходный код • Препроцессор • Компилятор • Декомпилятор • Объектный модуль • Компоновщик • Язык ассемблера • Двоичный файл • Исполняемый файл |
Ошибки |
Отладчик • Исчезновение порядка • Переполнение стека • Переполнение буфера • Побочный эффект • Ошибка сегментации • Обработка исключений • Утечка памяти • Сборка мусора • Безопасность доступа к памяти • Тестирование программного обеспечения • Ошибка безопасности |
Интерпретатор |
Машинный код • Интерпретатор • Точка останова • Процесс • Поток выполнения • Адресация памяти • Виртуальная память • Сегментная адресация памяти • Страничная память • Подкачка страниц • Виртуальная машина • Виртуализация • Песочница |