První dvě místa zaujímá neošetřený vstup (viz např. SQL injection, buffer overflow...) a chybně generované zprávy na výstupu, z nichž může útočník získat informace, které by k dispozici mít neměl. Přitom zrovna problém buffer overflow (přetečení zásobníku) je znám již více než 30 let.
Pokud se má tedy bezpečnostní situace změnit k lepšímu, musely by se změnit i samotné metody vývoje. Minimálně by do vývoje měla být zařazena metodika, která se bude týkat analýzou kódu právě z hlediska zabezpečení. Určitou obranou je používat modernější vývojové platformy Java či .Net namísto tvorby programů v jazyce C, kterého se aktuální trendy zdaleka tolik nedotkly.
Celý projekt koordinoval bezpečnostní institut SANS. Seznam 25 nejčastějších chyb je k dispozici právě na webu této organizace. SANS navrhuje, aby software procházel certifikací potvrzující, že uvedené chyby neobsahuje.
Zdroj: Computerworld.com
PŘEDPLATNÉ
ČLÁNKY DO MAILU