The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.02.2010 21:16  Рейтинг самых опасных ошибок, зафиксированных в 2009 году

Институт SANS (SysAdmin, Audit, Network, Security), совместно с организацией MITRE и ведущими экспертами по компьютерной безопасности, подготовил новую редакцию рейтинга 25 самых опасных ошибок, приводящих к возникновению серьезных уязвимостей. Ошибки были отобраны с учетом их распространенности, трудоемкости обнаружения и простоты эксплуатации уязвимости. В опубликованном документе подробно разбирается каждый из 25 видов ошибок, приводятся примеры уязявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок.

Краткое содержание рейтинга (цифра вначале указывает на место в рейтинге):

  • Небезопасное взаимодействие между компонентами, определяет проблемы, вызванные небезопасной отправкой или получением данных между модулями, программами, процессами, нитями или системами.
    • 1: Неспособность сохранения структуры web-страницы, что позволяет злоумышленнику внедрить на страницу свой скрипт или html-блок (XSS, Cross-site Scripting);
    • 2: Неспособность сохранения целостной структуры SQL запроса, что может привести к подстановке злоумышленником SQL запроса (SQL Injection);
    • 4: Cross-Site Request Forgery (CSRF), отсутствие проверки источника запроса, что может быть использовано злоумышленником для незаметного перенаправления авторизированного пользователя для выполнения определенных скрытых действий;
    • 8: Неограниченная возможность загрузки файлов опасного типа, например, когда через форму загрузки картинки на сайт можно загрузить (и затем выполнить) ".php" скрипт;
    • 9: Неспособность корректного формирования структуры запускаемого приложения, может привести к подставке кода злоумышленника при выполнении внешней команды, через определение некорректных значений, используемых в качестве параметров запускаемой программы (OS Command Injection);
    • 17: Утечка сведений о системе при выводе сообщения об ошибке, например, часто в сообщении об ошибке можно видеть текущие пути или имя базы, что может быть использовано злоумышленником.
    • 23: Перенаправление на вызывающий доверие сайт через некорректное использование средств переброса на другой URL в веб-приложениях (например, когда когда в скрипт локального переброса вместо "/redirect?url=form.php" передают "/redirect?url=http://example.com");
    • 25: "Эффект гонки" (Race Condition), проблемы вызванные возможностью одновременного использования одного ресурса несколькими обработчиками, отсутствием атомарных операций или ненадлежащими блокировками;
  • Рискованное управление ресурсами, ситуации когда к проблемам приводит ненадлежащее управление созданием, использованием, передачей или уничтожением важных ресурсов системы.
    • 3: Копирование содержимого буфера без предварительной проверки размера входных данных. Неспособность удержать действия в определенных жестких рамках или в пределах заданного буфера памяти, приводит к классическим уязвимостям вида выхода за допустимые границы и переполнению буфера;
    • 7: Возможность внешнего переопределения путей или имен файлов, например, когда в качестве имени файла используется какой-то передаваемый параметр, используя "../" в котором можно выйти за пределы текущей директории;
    • 12: Доступ к буферу без учета его размера, например, когда осуществляется копирование из одного буфера в другой без проверки, что во втором буфере хватит места;
    • 13: Отсутствие проверки на необычные ситуации, например, при невыполнении проверки результата выполнения функции malloc (разработчик подразумевает, что она никогда не вернет NULL) злоумышленник может инициировать переход на нулевой указатель. Или при выполнении "fgets(buf, 10, stdin); strcpy(cp_buf, buf);" разработчик уверен, что после fgets строка всегда терминирована, но при ошибке ввода/вывода это не так;
    • 14: Некорректная обработки имени файла перед его использованием в PHP директивах Include/Require. Типичный пример: "$dir = $_GET['module_name']; include($dir . "/function.php");", если в передачей "module_name=http://сайт_злоумышленника";
    • 15: Некорректная проверка индекса массива, например, обращение к -23 или 978 элементам массива, когда общий размер всего 100 элементов;
    • 16: Проблемы, связанные с целочисленным переполнением;
    • 18: Некорректный расчет размера буфера;
    • 20: Загрузка исполняемого кода без проверки его целостности через сверку с цифровой подписью, например, в результате взлома сайта или подстановки неверной информации в DNS, злоумышленник может изменить содержимое пакета с программой;
    • 22: Выделение ресурсов без задания максимальных ограничений, например, классическая fork-бомба или забивание всего свободного места на диске;
  • Ненадежная защита, некорректное использование, игнорирование или злоупотребление средствами защиты.
    • 5: Некорректный контроль доступа (авторизации);
    • 6: Доверие к непроверенному вводу при принятии решений, связанных с безопасностью. Например, излишнее доверие к содержимому cookie (кодирование прав доступа или уровня пользователя через cookie);
    • 10: Отсутствие шифрования конфиденциальных данных, например, хранение номера кредитной карты в БД в открытом виде;
    • 11: Задание базового пароля прямо в коде скрипта или в общедоступных файлах конфигурации;
    • 19: Отсутствие аутентификации при выполнении критических действий (например, при смене пароля, отсутствует проверка старого пароля);
    • 21: Небезопасное назначение прав доступа к критически важным ресурсам, например, возможность чтения или изменения другим пользователем конфигурационных или служебных файлов;
    • 24: Использование ненадежных или рискованных криптографических алгоритмов;

В заключение можно отметить интересную статистику, опубликованную в блоге Марка Кокса (Mark Cox), возглавляющего подразделение Red Hat, занимающееся выявлением и исправлением проблем безопасности. Марк проанализировал число устраненных в Red Hat уязвимостей по каждой из позиций вышепредставленного рейтинга Top25. Особый акцент сделан на уязвимостях, которые удалось предотвратить благодаря использованию таких технологий, как SELinux, ExecShield, защищенных вариантов malloc/free и активации FORTIFY_SOURCE опции glibc (дополнительная внутренняя проверка выхода за пределы буфера для функций, таких как strcpy). Например, дистрибутив оказался заведомо невосприимчив к серии уязвимостей, связанных с разыменованием NULL указателя.

  1. Главная ссылка к новости (http://cwe.mitre.org/top25/...)
  2. OpenNews: 25 самых опасных ошибок при создании программ
  3. OpenNews: Анализ рисков, связанных с проблемами безопасности в Red Hat Enterprise Linux
  4. OpenNews: Анализ проблем безопасности и оценка времени поддержки Red Hat Enterprise Linux
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: security, bug
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Zenitur, 23:13, 17/02/2010 [ответить] [смотреть все]
  • –4 +/
    Анализ был составлен по данным статистики обновлений безопасности MS Windows XP-... весь текст скрыт [показать]
     
     
  • 2.2, XoRe, 23:22, 17/02/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Угу А установка SElinux делает Windows намного безопаснее Там немалая часть уя... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.5, Zenitur, 00:56, 18/02/2010 [^] [ответить] [смотреть все]  
  • –2 +/
    Вы забыли про сотни обновлений для IE, WMP и NET Достаточно окинуть взглядом с... весь текст скрыт [показать]
     
     
  • 4.18, XoRe, 10:08, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    С этим я не спорю Я просто хочу указать ваше внимание, что все эти уязвимости н... весь текст скрыт [показать]
     
  • 4.64, Трухин_Юрий_Владимирович, 12:19, 20/02/2010 [^] [ответить] [смотреть все]  
  • +/
    И какие сотни обновлений была для поддерживаемых на сегодня ОС MS В 2009 году V... весь текст скрыт [показать]
     
     
  • 5.65, Аноним, 20:18, 20/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Вы тогда либо в поиске только ядро Linux выбирайте с минимальными GUI, либо все ... весь текст скрыт [показать]
     
     
  • 6.67, Трухин_Юрий_Владимирович, 22:09, 20/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Только по ядру Linux 38 уязвимостей только в ядре за 2009 год Это без всяк... весь текст скрыт [показать]
     
     
  • 7.70, Глеб В, 23:49, 20/02/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    Посмотрите на усердно вами цитируемом secunia степень опасности этих уязвимостей... весь текст скрыт [показать]
     
  • 5.66, Глеб В, 20:22, 20/02/2010 [^] [ответить] [смотреть все]  
  • +/
    28 дыр дающих удаленно права администратора и 135 Cross Site Scriptirng дыр в we... весь текст скрыт [показать]
     
     
  • 6.68, Трухин_Юрий_Владимирович, 22:10, 20/02/2010 [^] [ответить] [смотреть все]  
  • +/
    какие веб-приложения в настольных системах читайте внимательно ... весь текст скрыт [показать]
     
     
  • 7.69, Трухин_Юрий_Владимирович, 22:11, 20/02/2010 [^] [ответить] [смотреть все]  
  • +/
    это все я пишу в ответ на заявления человека о многих сотнях дыр в виндах в 2009... весь текст скрыт [показать]
     
     
  • 8.71, Глеб В, 23:52, 20/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Вы ссылались на статистику по числу дыр в Red Hat, а не только в настольных прил... весь текст скрыт [показать]
     
     ....нить скрыта, показать (11)

  • 1.3, Tav, 23:39, 17/02/2010 [ответить] [смотреть все]  
  • +6 +/
    Часть из этих ошибок — причина порочной практики программирования, которая связанна с использованием непоследовательного и непродуманного языка PHP: построение SQL-запросов путем конкатенации, смешивание html-кода и программной логики, скрипты и файлы с данными вперемешку, изначальное отсутствие пространств имен, "magic quotes hell" (убрали, но каким местом раньше думали), register_globals (понятно, что обычно выключено, но как вообще можно было в здравом уме до такого додуматься).
     
     
  • 2.4, Cobold, 00:51, 18/02/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    хорошо сказано :)
     
     
  • 3.8, vbv, 02:49, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    А Oracle не хочет приобрести php???
     
  • 2.7, Deffic, 02:48, 18/02/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    которая связанна с использованием непоследовательного и непродуманного языка ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, polymorphm1, 03:40, 18/02/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    самая больная проблема в PHP -- это mod_php , который ПООЩРЯЕТ помещщение и вып... весь текст скрыт [показать]
     
  • 3.22, Tav, 10:42, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Проблема не в SQL Все нормальные API для работы с SQL работают так запрос с па... весь текст скрыт [показать]
     
     
  • 4.26, Cobold, 11:50, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    эта норма пришла скорее от mysql, потому что там изначально небыло компиляции за... весь текст скрыт [показать]
     
  • 4.29, Deffic, 12:19, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    А если логика запроса посложнее и состоит из 100 вложений инъекций и поведен... весь текст скрыт [показать]
     
     
  • 5.38, Tav, 14:22, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Это значит, что вам следует пересмотреть модель данных Если подобные запросы вс... весь текст скрыт [показать]
     
  • 4.35, thirteensmay, 13:25, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Все бы было хорошо если бы плейсхолдеры можно было применять в любой части запро... весь текст скрыт [показать]
     
     
  • 5.39, Tav, 14:27, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Имя таблицы 8212 это данные пришедшие из вне Если такое часто нужно, у вас к... весь текст скрыт [показать]
     
     
  • 6.41, thirteensmay, 14:50, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Нет никаких проблем с моделью данных, есть необходимость динамического построени... весь текст скрыт [показать]
     
     
  • 7.43, Tav, 15:34, 18/02/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    Это все-таки не обычное использование БД, исключение, а не норма Речь о том, чт... весь текст скрыт [показать]
     
     
  • 8.45, thirteensmay, 16:03, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Вот с этим не могу не согласится Моя же речь про то что эти исключительные случ... весь текст скрыт [показать]
     
  • 8.51, Deffic, 18:25, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Позвольте не согласиться - это как раз НОРМА Если у Вас база нормализована, то ... весь текст скрыт [показать]
     
  • 8.73, AlexAT, 13:47, 12/05/2010 [^] [ответить] [смотреть все]  
  • +/
    Ошибаетесь Это давно уже норма Время, когда все можно было сделать запросами в... весь текст скрыт [показать]
     
  • 5.42, Cobold, 14:57, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    А вот смотрите, не в защиту перла а просто как сравнение на перле с базой работ... весь текст скрыт [показать]
     
     
  • 6.44, thirteensmay, 15:40, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    И на перл можно каждый раз собирать строку запроса, препарить ее а потом исполня... весь текст скрыт [показать]
     
     
  • 7.47, Cobold, 17:29, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    я не о том что на перле это невозможно, я о том что там в отличии от php при раб... весь текст скрыт [показать]
     
     
  • 8.52, thirteensmay, 18:35, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    а я вам про то что я например, при освоении DBI был весьма озадачен таким подход... весь текст скрыт [показать]
     
  • 7.49, Cobold, 17:39, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    а по поводу безопасности - всё зависит от вашей клиентской группы, в некоторых м... весь текст скрыт [показать]
     
     
  • 8.50, thirteensmay, 18:04, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    это всеже не мэйнстрим, в основном то ПО впаривается, посмотрите на туже винду и... весь текст скрыт [показать]
     
  • 2.9, Deffic, 02:51, 18/02/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    смешивание html-кода и программной логики Можете это хот как-то обосновать... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, Ян Злобин, 03:34, 18/02/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну ведь действительно так и есть Смешивание неправильно по сути ... весь текст скрыт [показать]
     
     
  • 4.13, Deffic, 03:50, 18/02/2010 [^] [ответить] [смотреть все]  
  • –2 +/
    Неправильно - смешивание данных и кода А смешивание кода и кода - это вопрос вк... весь текст скрыт [показать]
     
     
  • 5.15, polymorphm1, 04:06, 18/02/2010 [^] [ответить] [смотреть все]  
  • +3 +/
    код коду рознь txt-файл это тоже своего рода КОД программа например при печ... весь текст скрыт [показать]
     
     
  • 6.16, Deffic, 04:35, 18/02/2010 [^] [ответить] [смотреть все]  
  • –1 +/
    Текстовый файл не содержит инструкций, которые нужно выполнить в идеале t ... весь текст скрыт [показать]
     
     
  • 7.17, Аноним, 09:30, 18/02/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    http ru wikipedia org wiki Управляющий_символ сюрприз ... весь текст скрыт [показать]
     
     
  • 8.24, Deffic, 11:25, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Специалисты меня порвали ... весь текст скрыт [показать]
     
  • 7.20, XoRe, 10:26, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Ваше imho нам понятно В качестве точки зрения могу указать на темы skins , шаб... весь текст скрыт [показать]
     
     
  • 8.32, thirteensmay, 12:42, 18/02/2010 [^] [ответить] [смотреть все]  
  • –2 +/
    Есть мнение что впендюривание новых шаблонов и тем - туфта гламурных домохозяек,... весь текст скрыт [показать]
     
  • 3.23, Tav, 11:00, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Это противоречит архитектурному шаблону Model 8211 View 8211 Controller, затру... весь текст скрыт [показать]
     
     
  • 4.27, Cobold, 12:03, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    а сколько господ даже здесь рассуждают о языке без намёка на MVC в своих текстах... весь текст скрыт [показать]
     
     
  • 5.30, Deffic, 12:23, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    MVC никто не отменял ... весь текст скрыт [показать]
     
     
  • 6.33, thirteensmay, 12:51, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    НеMVC тоже ;)


     
     
  • 7.34, Deffic, 12:57, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    >НеMVC тоже ;)

    Согласен.
    Фанатизм - Зло!

     
  • 6.40, Cobold, 14:29, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    я скорее о том что очень многие php программисты или о нём совсем не знают, или ... весь текст скрыт [показать]
     
     
  • 7.74, AlexAT, 13:50, 12/05/2010 [^] [ответить] [смотреть все]  
  • +/
    А вы даже для HelloWorld готовы юзать MVC ... весь текст скрыт [показать]
     
  • 2.14, polymorphm1, 03:57, 18/02/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    это верно причём код на PHP можно писать довольно надёжно, но выглядеть такой... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, XoRe, 10:34, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален php name_arg stripslashes _GET name href h... весь текст скрыт [показать]
     
     
  • 4.25, Deffic, 11:47, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Смешиваем код с html ... весь текст скрыт [показать]
     
  • 4.62, polymorphm1, 03:20, 20/02/2010 [^] [ответить] [смотреть все]  
  • +/
    не потомучто смотрите как вы называете свои переменные href -- это например ... весь текст скрыт [показать]
     
  • 1.11, polymorphm1, 03:35, 18/02/2010 [ответить] [смотреть все]  
  • +/
    больше всего нанавижу что люди разработчики функциональных web-страниц -- недо... весь текст скрыт [показать]
     
     
  • 2.28, thirteensmay, 12:15, 18/02/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А чем перехват и подмена кук и ip отличается от подмены HTTP_REFERER ?
     
     
  • 3.31, Аноним, 12:35, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    От подмены IP защитит протокол TCP IP если вы не внедрились в канал связи Пер... весь текст скрыт [показать]
     
     
  • 4.36, thirteensmay, 13:31, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    В т ч может быть сформирован запрос с необходимым HTTP_REFERER И для этого да... весь текст скрыт [показать]
     
     
  • 5.46, Аноним, 16:36, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Нет Или это дыра в браузере Может быть запрос любой страницы или любого действ... весь текст скрыт [показать]
     
     
  • 6.48, thirteensmay, 17:36, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Какая дыра в браузере Запрос отправляется не из браузера а с сайта злоумышленн... весь текст скрыт [показать]
     
     
  • 7.53, Аноним, 19:04, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Нет Из браузера Referer сайт злоумышленника Куку не перехватили Всё работае... весь текст скрыт [показать]
     
     
  • 8.54, thirteensmay, 19:33, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Цитирую Referer может подменить клиент, все правильно, но не клиент обычного по... весь текст скрыт [показать]
     
     
  • 9.55, Аноним, 19:57, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Не нужен Засветит откуда пришёл Злосайту это не важно Referer может подменить... весь текст скрыт [показать]
     
     
  • 10.56, thirteensmay, 20:44, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    За тем злоклиент на злосайте и нужен чтобы отправить запрос с подмененным рефере... весь текст скрыт [показать]
     
     
  • 11.57, Аноним, 21:17, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Отправлять запрос злосайт не будет Он показывает страницу Реферер формируется ... весь текст скрыт [показать]
     
     
  • 12.58, thirteensmay, 21:39, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Да злосайт сайтом называется только ради красоты, обычная машинка с доступом к с... весь текст скрыт [показать]
     
     
  • 13.59, Аноним, 22:13, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    Нет Ради определённости Нужны термины для ведения дискуссии Да Нет И то и д... весь текст скрыт [показать]
     
     
  • 14.60, thirteensmay, 22:32, 18/02/2010 [^] [ответить] [смотреть все]  
  • –1 +/
    Ооо ! кажись понял, автор имел ввиду использование его кук в рамках понятия CSRF, т.е. не их перехват и запрос с подставного сайта, а склонение пользовательского браузера к отправке запроса на оригинальный сайт но с измененными параметрами, не теми что ввел пользователь. Т.е. автор просто неверно сформулировал часть предложения, вместо:

    >запрос мог быть присланным с ЛЮБОГО другого подставного сайта, но с использованием МОИХ Cookie и моего ip

    следовало бы написать чтото типа:

    >запрос мог быть выполнен из моего браузера, но с подставными параметрами, и естественно с моими Cookie и ip

    так ???

     
     
  • 15.61, Аноним, 22:40, 18/02/2010 [^] [ответить] [смотреть все]  
  • +/
    >так ???

    Да.

     
  • 15.63, polymorphm1, 03:37, 20/02/2010 [^] [ответить] [смотреть все]  
  • +/
    > так ???

    да так :-)

    давно меня небыло на этом обсуждении, извеняюсь :-(..


    просто когда я говорил что "запрос придёт с сайта" -- я не конкретизировал кто конкретно его будет посылать (www-browser или www-server) ,

    ....потомучто сайт он же не только на сервере -- но и на моём  [клиентским]компьютере: javascript'ы сайта например обрабатываются моим [клиентским]процессором (чего кстате не делается на сервере) , HTML и CSS рисуются тоже моим [клиентским]процессором , ды даже сама картинка сайта -- показывается на моём [клиентским]мониторе :-)

    ..такчто неподумал что моя формулировка "отправить с сайта" может когото ввергнуть в смуту (что ктото подумает что сайт это ТОЛЬКО то что работает на www-server)

    простите :-(

     
  • 1.37, luzers, 14:14, 18/02/2010 [ответить] [смотреть все]  
  • +/
    Распечатать и большим плакатом в программерских развесить.
    для альтернативноодаренных - заставлять зубрить.
    потом спросить за отче наш, гимн СССР и гимн России)
     
  • 1.75, gHg, 09:15, 04/07/2011 [ответить] [смотреть все]  
  • +/
    админам составьте пожалуйста ПОЛНЫЙ список из инета, обязательно по категорям (языки, назначение программ/алгоритмов,....).
    + >"Отсутствие шифрования конфиденциальных данных, например, хранение номера кредитной карты в БД в открытом виде"
    - полуказанно, так даже шифруя их - они могут быть взломаны, или тупо проданы персоналом или владельцем.
    ----
    + использование скриптов - как формы backdoor под видом ошибок транслятора/JIT или библиотек, тем более если могут выполнять себя динамически(без компиляции/трансляции) вроде интернетовских
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor