Chyba zabezpečení - Security bug

A bezpečnostní chyba nebo bezpečnostní vada je softwarová chyba které lze zneužít k získání neoprávněného přístupu nebo oprávnění v počítačovém systému. Zavádějí se bezpečnostní chyby chyby zabezpečení kompromitováním jednoho nebo více z:

• Ověření z uživatelů a další subjekty ^[1]
• Oprávnění z přístupová práva a privilegia ^[1]
• Důvěrnost údajů
• Integrita dat

Bezpečnostní chyby nemusí být identifikovány ani využíván kvalifikovat se jako takové a předpokládá se, že jsou mnohem častější než známé chyby zabezpečení téměř v každém systému.

Příčiny

Bezpečnostní chyby, stejně jako všechny ostatní softwarové chyby, pocházejí z hlavní příčiny které lze obecně vysledovat buď jako nepřítomné, nebo nedostatečné:^[2]

• Vývojář softwaru výcvik
• Případ použití analýza
• Metodika softwarového inženýrství
• Zajištění kvality testování
• ...a další osvědčené postupy

Taxonomie

Chyby zabezpečení obecně spadají do poměrně malého počtu širokých kategorií, které zahrnují:^[3]

• Bezpečnost paměti (např. přetečení zásobníku a visící ukazatel hmyz)
• Stav závodu
• Bezpečné zpracování vstupů a výstupů
• Chybné použití API
• Nevhodný případ použití zacházení
• Nevhodný zpracování výjimek
• Úniky zdrojů, často, ale ne vždy, kvůli nesprávnému zpracování výjimek
• Předběžné zpracování vstupních řetězců po jsou kontrolovány, zda jsou přijatelné.

Zmírnění

Vidět zabezpečení softwaru.

Viz také

• Zabezpečení počítače
• Hacking: The Art of Exploitation Druhé vydání
• IT riziko
• Hrozba (počítač)
• Zranitelnost (výpočet)
• Chyba hardwaru
• Bezpečné kódování

Reference

Další čtení

• Otevřete projekt zabezpečení webových aplikací (21. srpna 2015). „Seznam 10 nejlepších seznamů z roku 2013“.
• „CWE / SANS TOP 25 nejnebezpečnějších softwarových chyb“. SANS. Citováno 13. července 2012.