MITRE и SANS опубликовали список из 25 наиболее распространенных ошибок в программировании

image

Теги: SANS, программирование, ошибка

В итоговый список попали ошибки, которые использовались практически во всех крупных кибератаках, проведенных за последний год.

Некоммерческая организация MITRE и институт SANS опубликовали список из 25 наиболее распространенных ошибок в программировании, которые могут сыграть на руку хакерам.

Это уже второе издание в рамках проекта CWE (Common Weakness Enumeration), который осуществляется при поддержке американских служб внутренней безопасности. В отличие от прочих, он не ограничивается выявлением опасных уязвимостей в прикладном ПО, но заостряет внимание на ошибках, которые могут привести к их появлению, и предлагает конкретные меры по предотвращению таких ошибок.

В составлении перечня Top 25 по итогам 2009 года принимали участие свыше 20 европейских и американских компаний, специализирующихся в области сетевой безопасности. Отбор и оценка проводились на основе данных по характерным ошибкам, собранных MITRE-комьюнити, и результатов анализа кибератак и уязвимостей, проведенного SANS.

При составлении рейтинга эксперты в первую очередь обращали внимание на частотность программной ошибки и степень риска: простоту обнаружения злоумышленником, количество злоупотреблений, трудоемкость исправления ситуации. В итоговый список попали ошибки, которые использовались практически во всех крупных кибератаках, проведенных за последний год. Рейтинг возглавили те из них, что позволяют осуществлять XSS-атаки, SQL-инъекции и вызывать переполнение буфера.

или введите имя

CAPTCHA
Критик
24-02-2010 18:42:25
Некоммерческая организация MITRE и институт SANS опубликовали список из 25 наиболее распространенных ошибок в программировании, которые могут сыграть на руку хакерам. />Первая ошибка - незакрытый тег.
0 |
иван
24-02-2010 21:21:38
почему ниподчеркнули что ошибки относяца к "веб программированию"
0 |
фетиш-мастер [Малиновые штаны]
25-02-2010 11:18:02
это переполнение буферов к веб-программированию относится? З.Ы. SQL-инъекция - это ошибка в ДНК, а не программирования
0 |