Ошибка безопасности

Ошибка безопасности или дефект безопасности — это программная ошибка , которую можно использовать для получения несанкционированного доступа или привилегий в компьютерной системе. Ошибки безопасности создают уязвимости безопасности, ставя под угрозу одно или несколько из:

Аутентификация пользователей и других объектов ^[1]
Авторизация прав доступа и привилегий ^[1]
данных Конфиденциальность
Целостность данных

Ошибки безопасности не обязательно должны быть идентифицированы или использованы , чтобы их можно было квалифицировать как таковые, и предполагается, что они встречаются гораздо чаще, чем известные уязвимости практически в любой системе.

Причины [ править ]

Ошибки безопасности, как и все другие ошибки программного обеспечения , возникают из основных причин , которые обычно можно отнести к отсутствию или неадекватности: ^[2]

разработчиков программного обеспечения Обучение
вариантов использования Анализ
Методология разработки программного обеспечения
качества Тестирование
и другие лучшие практики

Таксономия [ править ]

Ошибки безопасности обычно делятся на довольно небольшое количество широких категорий, которые включают в себя: ^[3]

Безопасность памяти (например, переполнение буфера и висячего указателя ) ошибки
Состояние гонки
Безопасная обработка ввода и вывода
Неправильное использование API
Неправильная вариантов использования обработка
Неправильная обработка исключений
Утечки ресурсов , часто, но не всегда, из-за неправильной обработки исключений.
Предварительная обработка входных строк перед их проверкой на приемлемость

Смягчение [ править ]

См. Обеспечение безопасности программного обеспечения .

См. также [ править ]

Ссылки [ править ]

^ Jump up to: Перейти обратно: ^а ^б «25 самых опасных ошибок программного обеспечения CWE/SANS» . САНС . Проверено 13 июля 2012 г.
^ «Качество и безопасность программного обеспечения» . 02.11.2008 . Проверено 28 апреля 2017 г.
^ Альхазми, Омар Х.; Ву, Сон-Ван; Малайя, Яшвант К. (январь 2006 г.). «Категории уязвимостей безопасности в основных программных системах» . Материалы Третьей Международной конференции IASTED по коммуникациям, сетям и информационной безопасности .

Дальнейшее чтение [ править ]

Открытый проект безопасности веб-приложений (21 августа 2015 г.). «Список 10 лучших 2013 года» .
«25 самых опасных ошибок программного обеспечения CWE/SANS» . САНС . Проверено 13 июля 2012 г.

[mitre-1] Jump up to: Перейти обратно: ^а ^б «25 самых опасных ошибок программного обеспечения CWE/SANS» . САНС . Проверено 13 июля 2012 г.

[2] «Качество и безопасность программного обеспечения» . 02.11.2008 . Проверено 28 апреля 2017 г.

[3] Альхазми, Омар Х.; Ву, Сон-Ван; Малайя, Яшвант К. (январь 2006 г.). «Категории уязвимостей безопасности в основных программных системах» . Материалы Третьей Международной конференции IASTED по коммуникациям, сетям и информационной безопасности .

[1]

[2]

[3]

v т и Информационная безопасность
Связанные категории безопасности	Компьютерная безопасность Автомобильная безопасность Киберпреступность Киберсекс-торговля Компьютерное мошенничество Кибергеддон Кибертерроризм Кибервойна Электромагнитная война Информационная война Интернет-безопасность Мобильная безопасность Сетевая безопасность Защита от копирования Управление цифровыми правами	vectorial version
Угрозы	Рекламное ПО Расширенная постоянная угроза Выполнение произвольного кода Бэкдоры Аппаратные бэкдоры Внедрение кода Криминальное ПО Межсайтовый скриптинг Межсайтовые утечки Затирание DOM Обнюхивание истории криптоджекинг Ботнеты Утечка данных Загрузка для проезда Вспомогательные объекты браузера Вирусы Парсинг данных Атака типа «отказ в обслуживании» Подслушивание Мошенничество по электронной почте Подмена электронной почты Эксплойты Хактивизм Небезопасная прямая ссылка на объект Регистраторы нажатий клавиш Логические бомбы Бомбы замедленного действия Вилочные бомбы Зип-бомбы Мошеннические дозвонщики Вредоносное ПО Полезная нагрузка Фишинг Голос Полиморфный движок Повышение привилегий программы-вымогатели Руткиты пугающие программы Шеллкод Спам Социальная инженерия Шпионское ПО Программные ошибки Троянские кони Аппаратные трояны Трояны удаленного доступа Уязвимость Веб-оболочки Стеклоочиститель Черви SQL-инъекция Мошенническое программное обеспечение безопасности Зомби
Защита	Безопасность приложений Безопасное кодирование Безопасно по умолчанию Безопасность благодаря дизайну Случай неправильного использования Контроль доступа к компьютеру Аутентификация Многофакторная аутентификация Авторизация Программное обеспечение компьютерной безопасности Антивирусное программное обеспечение Операционная система, ориентированная на безопасность Безопасность, ориентированная на данные Обфускация (программное обеспечение) Маскирование данных Шифрование Брандмауэр Система обнаружения вторжений Хост-система обнаружения вторжений (HIDS) Обнаружение аномалий Управление информацией о безопасности и событиями (SIEM) Мобильный безопасный шлюз Самозащита приложений во время выполнения Изоляция сайта