Опубликован 2011 CWE/SANS Top 25 Most Dangerous Software Errors
07 Июл 2011, Андрей Фадин
Была выложена в открытый доступ обновленная версия рейтинга наиболее опасных с точки зрения безопасности дефектов программного обеспечения.
В качестве основных изменений в публикации нужно упомянуть:
- использование для ранжирования CWSS, системы оценки дефектов (Common Weakness Scoring System), созданой по аналогии с гораздо более широко известной системой оценки уязвимостей CVSS;
- дефекты кода связанные с межсайтовым скриптингом (XSS) и подделкой межсайтовых запросов (CSRF) были вытеснены с первых мест SQL и кодовой инъекциями;
- выросло число дефектов (с 11 до 7 места) связаных с жестко закодированными данными учетных записей (CWE-798, Hard-coded Credentials), с данным дефектом чаще всего приходится сталкиваться испытательным лабораториям в России;
- в список впервые попало отсутствие использования «соли» в хэшах (CWE-759, Use of a One-Way Hash without a Salt), это вероятнее всего обусловлено ростом популярности rainbow-таблиц и высокоскоростных систем перебора хэшей, основанных на GPU;
- сам документ был значительно расширен с помощью выдержек из CWE, содержащих подробные описания условий возникновения дефектов, их последствий, а также рекомендаций с целью их избежания.
Possibly Related Posts:
- Эксперты ГК «Эшелон» приняли участие в работе методических сборов, организованных управлением ФСТЭК России по Дальневосточному федеральному округу
- ГК «Эшелон» приняла участие в семинаре ФСТЭК России по вопросам совершенствования системы подготовки специалистов в области ИБ
- Журнал «Вопросы кибербезопасности» за прошедший год признан лучшим в РИНЦ по тематике!
- Эксперты АО НПО «Эшелон» провели секцию по защите критической информационной инфраструктуры в рамках Всероссийского форума «ПРОФ-IT.2019»
- СВФУ подписал соглашение об обучении специалистов по ИБ