Chyba zabezpečení - Security bug
Část série na |
Informační bezpečnost |
---|
Související kategorie zabezpečení |
Hrozby |
Obrana |
A bezpečnostní chyba nebo bezpečnostní vada je softwarová chyba které lze zneužít k získání neoprávněného přístupu nebo oprávnění v počítačovém systému. Zavádějí se bezpečnostní chyby chyby zabezpečení kompromitováním jednoho nebo více z:
- Ověření z uživatelů a další subjekty [1]
- Oprávnění z přístupová práva a privilegia [1]
- Důvěrnost údajů
- Integrita dat
Bezpečnostní chyby nemusí být identifikovány ani využíván kvalifikovat se jako takové a předpokládá se, že jsou mnohem častější než známé chyby zabezpečení téměř v každém systému.
Příčiny
Bezpečnostní chyby, stejně jako všechny ostatní softwarové chyby, pocházejí z hlavní příčiny které lze obecně vysledovat buď jako nepřítomné, nebo nedostatečné:[2]
- Vývojář softwaru výcvik
- Případ použití analýza
- Metodika softwarového inženýrství
- Zajištění kvality testování
- ...a další osvědčené postupy
Taxonomie
Chyby zabezpečení obecně spadají do poměrně malého počtu širokých kategorií, které zahrnují:[3]
- Bezpečnost paměti (např. přetečení zásobníku a visící ukazatel hmyz)
- Stav závodu
- Bezpečné zpracování vstupů a výstupů
- Chybné použití API
- Nevhodný případ použití zacházení
- Nevhodný zpracování výjimek
- Úniky zdrojů, často, ale ne vždy, kvůli nesprávnému zpracování výjimek
- Předběžné zpracování vstupních řetězců po jsou kontrolovány, zda jsou přijatelné.
Zmírnění
Vidět zabezpečení softwaru.
Viz také
- Zabezpečení počítače
- Hacking: The Art of Exploitation Druhé vydání
- IT riziko
- Hrozba (počítač)
- Zranitelnost (výpočet)
- Chyba hardwaru
- Bezpečné kódování
Reference
- ^ A b „CWE / SANS TOP 25 nejnebezpečnějších softwarových chyb“. SANS. Citováno 13. července 2012.
- ^ „Kvalita softwaru a zabezpečení softwaru“. 2008-11-02. Citováno 2017-04-28.
- ^ „Kategorie zranitelnosti zabezpečení v hlavních softwarových systémech“. 2006-01-01. Citováno 2017-04-28.
Další čtení
- Otevřete projekt zabezpečení webových aplikací (21. srpna 2015). „Seznam 10 nejlepších seznamů z roku 2013“.
- „CWE / SANS TOP 25 nejnebezpečnějších softwarových chyb“. SANS. Citováno 13. července 2012.