Некоммерческая организация MITRE и институт SANS опубликовали список из 25 наиболее распространенных ошибок в программировании, которые могут сыграть на руку хакерам.
Это уже второе издание в рамках проекта CWE (Common Weakness Enumeration), который осуществляется при поддержке американских служб внутренней безопасности. В отличие от прочих, он не ограничивается выявлением опасных уязвимостей в прикладном ПО, но заостряет внимание на ошибках, которые могут привести к их появлению, и предлагает конкретные меры по предотвращению таких ошибок.
В составлении перечня Top 25 по итогам 2009 года принимали участие свыше 20 европейских и американских компаний, специализирующихся в области сетевой безопасности. Отбор и оценка проводились на основе данных по характерным ошибкам, собранных MITRE-комьюнити, и результатов анализа кибератак и уязвимостей, проведенного SANS.
При составлении рейтинга эксперты в первую очередь обращали внимание на частотность программной ошибки и степень риска: простоту обнаружения злоумышленником, количество злоупотреблений, трудоемкость исправления ситуации. В итоговый список попали ошибки, которые использовались практически во всех крупных кибератаках, проведенных за последний год. Рейтинг возглавили те из них, что позволяют осуществлять XSS-атаки, SQL-инъекции и вызывать переполнение буфера.
Меньше багов, программисты!