Zranitelnost způsobují známé programátorské chyby - neošetřený vstup a výstup

21. 1. 2009

Sdílet

Skupina expertů, v níž byli mj. zástupci ministerstva vnitra USA, americké bezpečnostní služby NSA či firem Microsoft a Symantec, zveřejnila studii, podle níž je většina útoků proti serverům umožněna existencí několika dobře známých a mnohokrát zdokumentovaných programátorských chyb.

První dvě místa zaujímá neošetřený vstup (viz např. SQL injection, buffer overflow...) a chybně generované zprávy na výstupu, z nichž může útočník získat informace, které by k dispozici mít neměl. Přitom zrovna problém buffer overflow (přetečení zásobníku) je znám již více než 30 let.

Pokud se má tedy bezpečnostní situace změnit k lepšímu, musely by se změnit i samotné metody vývoje. Minimálně by do vývoje měla být zařazena metodika, která se bude týkat analýzou kódu právě z hlediska zabezpečení. Určitou obranou je používat modernější vývojové platformy Java či .Net namísto tvorby programů v jazyce C, kterého se aktuální trendy zdaleka tolik nedotkly.

Celý projekt koordinoval bezpečnostní institut SANS. Seznam 25 nejčastějších chyb je k dispozici právě na webu této organizace. SANS navrhuje, aby software procházel certifikací potvrzující, že uvedené chyby neobsahuje.

 

Zdroj: Computerworld.com