Новый список 25 основных компьютерных уязвимостей от Министерство безопасности, SANS Institute и Mitre
28.06.2011
Министерство национальной безопасности совместно с SANS Institute и Mitre опубликовали список 25 главных уязвимостей этого года и выпустили новые инструменты для измерения рисков безопасности.
Список содержит наиболее распространенные и легко эксплуатируемые уязвимости, он был составлен экспертами по безопасности из промышленных и научных кругов, а также правительства. Он включает советы по обнаружению и устранению уязвимостей в особых секторах, таких как электронная коммерция и промышленность, а также содержит рекомендации для разработчиков как и каких ошибок следует избегать.
"SQL-инъекция является самой распространенной уязвимостью 2011 года. Для богатых данными приложений внедрение SQL-кода является средством получения ключей от королевства", - сообщил SANS Institute.
"Выполнение команд ОС - на втором месте. Классическое переполнение буфера на третьем месте в списке самых важных ошибок и оно по-прежнему является губительным даже спустя десятилетия. Межсайтовый скриптинг является бичом множества веб-приложений и занимает четвертую позицию. Первую пятерку завершает отсутствие аутентификации для критических функций".
Наряду со списком организации выпустили новые инструменты, разработанные для облегчения обнаружения и устранения уязвимостей. Common Weakness Risk Analysis Framework (CWRAF) обеспечивает организации системой для тестирования приложений на наличие наиболее опасных уязвимостей, с которыми есть вероятность столкнуться.
Разработчикам и ИТ-менеджерам предназначена система Common Weakness Scoring System (CWSS), которая позволяет установить приоритет более важных уязвимостей в операционных системах, приложениях и стороннем коде, а также соответственно позволяет установить приоритетность патчей и используемых технологий.
