Ошибка безопасности или дефект безопасности - это ошибка программного обеспечения, которая может быть использована для получения несанкционированного доступа или привилегий в компьютерной системе. Ошибки безопасности создают уязвимости безопасности , компрометируя одно или несколько из:
- Аутентификация из пользователей и других лиц [1]
- Разрешение на права доступа и привилегий [1]
- Конфиденциальность данных
- Целостность данных
Ошибки безопасности не нужно идентифицировать или использовать, чтобы квалифицировать их как таковые, и предполагается, что они гораздо более распространены, чем известные уязвимости почти в любой системе.
Причины
Ошибки безопасности, как и все другие ошибки программного обеспечения , происходят от основных причин, которые, как правило, можно отследить как отсутствующие, так и несоответствующие: [2]
- Обучение разработчиков программного обеспечения
- Случай использования анализа
- Методология программной инженерии
- Обеспечение качества тестирования
- ... и другие передовые практики
Таксономия
Ошибки безопасности обычно попадают в довольно небольшое количество широких категорий, которые включают: [3]
- Безопасность памяти (например, ошибки переполнения буфера и зависшего указателя )
- Состояние гонки
- Безопасная обработка ввода и вывода
- Неправильное использование API
- Неправильная обработка сценария использования
- Неправильная обработка исключений
- Утечки ресурсов , часто, но не всегда, из-за неправильной обработки исключений.
- Предварительная обработка входных строк после того, как они проверены на приемлемость.
Смягчение
Смотрите также
- Компьютерная безопасность
- Взлом: Искусство эксплуатации, второе издание
- IT риск
- Угроза (компьютер)
- Уязвимость (вычисления)
- Аппаратная ошибка
- Безопасное кодирование
Рекомендации
- ^ a b «ТОП-25 наиболее опасных программных ошибок CWE / SANS» . SANS . Проверено 13 июля 2012 года .
- ^ «Качество программного обеспечения и безопасность программного обеспечения» . 2008-11-02 . Проверено 28 апреля 2017 .
- ^ «Категории уязвимостей безопасности в основных программных системах» . 2006-01-01 . Проверено 28 апреля 2017 .
дальнейшее чтение
- Открытый проект безопасности веб-приложений (21 августа 2015 г.). «Список 10 лучших 2013» .
- «ТОП-25 наиболее опасных программных ошибок CWE / SANS» . SANS . Проверено 13 июля 2012 года .