Новый список 25 основных компьютерных уязвимостей

Министерство национальной безопасности совместно с SANS Institute и Mitre опубликовали список 25 главных уязвимостей этого года и выпустили новые инструменты для измерения рисков безопасности.

Список содержит наиболее распространенные и легко эксплуатируемые уязвимости, он был составлен экспертами по безопасности из промышленных и научных кругов, а также правительства. Он включает советы по обнаружению и устранению уязвимостей в особых секторах, таких как электронная коммерция и промышленность, а также содержит рекомендации для разработчиков как и каких ошибок следует избегать.

"SQL-инъекция является самой распространенной уязвимостью 2011 года. Для богатых данными приложений внедрение SQL-кода является средством получения ключей от королевства", – сообщил SANS Institute.

"Выполнение команд ОС – на втором месте. Классическое переполнение буфера на третьем месте в списке самых важных ошибок и оно по-прежнему является губительным даже спустя десятилетия. Межсайтовый скриптинг является бичом множества веб-приложений и занимает четвертую позицию. Первую пятерку завершает отсутствие аутентификации для критических функций".

Наряду со списком организации выпустили новые инструменты, разработанные для облегчения обнаружения и устранения уязвимостей. Common Weakness Risk Analysis Framework (CWRAF) обеспечивает организации системой для тестирования приложений на наличие наиболее опасных уязвимостей, с которыми есть вероятность столкнуться.

Разработчикам и ИТ-менеджерам предназначена система Common Weakness Scoring System (CWSS), которая позволяет установить приоритет более важных уязвимостей в операционных системах, приложениях и стороннем коде, а также соответственно позволяет установить приоритетность патчей и используемых технологий.

Tweet