25 najnebezpečnejších softvérových bezpečnostných chýb

Po viac ako roku vyšla ďalšia verzia dokumentu CWE/SANS Top 25 Most Dangerous Programming Errors. Je výsledkom spolupráce SANS Institute, MITRE s oddelením kybernetickej bezpečnosti amerického ministerstva vnútornej bezpečnosti (US Department of Homeland Security's National Cyber Security Division) a mnohých bezpečnostných expertov z USA a Európy.

Ide o nové vydanie dokumentu, ktorého prvá verzia bola uvoľnená v januári minulého roku. Táto je však značne prepracovaná a pripomienkovalo ju viac ako 20 subjektov, ktoré vyjadrili svoj pohľad na dané bezpečnostné chyby. Na najvyšších priečkach sa objavili dva typy najnebezpečnejších bezpečnostných chýb – XSS (Cross-site scripting) a SQL Injection, ktoré sa spájajú najmä s webovými aplikáciami. Tie nasleduje z historického hľadiska najdôležitejší príklad zlých programátorských praktík – pretečenie zásobníka alebo buffer overflow.

Zoznam najnebezpečnejších programovacích chýb podľa 2010 CWE/SANS Top 25 Most Dangerous Programming Errors:

1. XSS (Cross-site scripting) – umožňuje do webovej stránky vložiť kód, ktorý následne interpretuje webový prehliadač
2. SQL Injection – zle ošetrený vstup dát, ktoré putujú do databázového servera
3. Buffer Overflow – kopírovanie dát v programe bez kontroly veľkosti cieľovej alokovanej pamäte
4. Cross-Site Request Forgery (CSRF) – manipulácia ankiet, odcudzenie on-line účtov vo webových aplikáciách atď.
5. Nesprávna kontrola autorizácie prístupových práv
6. Závislosť od nedôveryhodného vstupu
7. Nedostatočná kontrola názvov vkladaných súborov – Path Traversal
8. Uploadovanie súborov s nebezpečnou príponou
9. Nedostatočná kontrola vstupu – OS Command Injection
10. Nešifrovanie dôležitých dát
11. Prihlasovacie údaje/kryptografické kľúče zapísané „napevno“, napríklad v kóde (Hard-coded Credentials)
12. Prístup na adresu v bufferi, ktorá je mimo jeho rozsahu
13. Nedostatočná kontrola názvu vkladaného súboru – PHP File Inclusion
14. Nedostatočná kontrola indexu poľa – Array Index
15. Nedostatočná kontrola správania sa aplikácie pri neočakávaných udalostiach
16. Únik informácií cez chybové správy
17. Integer overflow
18. Chybne vypočítaná veľkosť buffera
19. Chýbajúca autentifikácia pri dôležitých funkciách
20. Stiahnutie kódu alebo spustiteľného súboru a jeho spustenie bez kontroly jeho pôvodu a integrity
21. Nesprávne priradenie prístupových práv k dôležitým zdrojom
22. Alokácia zdrojov bez obmedzenia veľkosti/množstva
23. Presmerovanie URL na nedôveryhodnú adresu – Open Redirect
24. Používanie prelomeného alebo slabého šifrovacieho algoritmu
25. Nepredvídateľné správanie sa kódu v závislosti od načasovania jednotlivých udalostí – Race Condition

Chyby opísané v dokumente sú zodpovedné za väčšinu útokov na rôzne počítačové systémy od bežných domácich počítačov až po tie najdôležitejšie podnikové dátové centrá. Zákazníkom prináša tento zoznam možnosť, ako od výrobcov softvéru požadovať produkty, ktoré by neobsahovali tieto najčastejšie sa vyskytujúce bezpečnostné diery. To je však podľa mnohých expertov ešte veľmi vzdialená predstava, keďže vo väčšine softvéru sa chyby budú nachádzať vždy a len málokto si dnes vie predstaviť, že veľkí výrobcovia softvéru by pristúpili na akúsi garanciu, že ich produkty neobsahujú žiadnu z bezpečnostných dier opísaných v dokumente.

Dôkazom úspešnosti podobných zoznamov bezpečnostných chýb je aj o niečo starší projekt organizácie OWASP s názvom OWASP Top Ten, ktorý sa zaoberá bezpečnostnými chybami webových aplikácií.

Zdroj:
cwe.mitre.org
www.theregister.co.uk

Prečítajte si tiež:

Zneužitie chybnej implementácie funkcie view state predvedú na Black Hat (pred 2 rokmi)

Microsoft končí aj s funkciou memcpy (pred 3 rokmi)

Národná lotéria UK je náchylná podľahnúť útokom SQL Injection (pred 3 rokmi)

Hackeri vydávajú exploity čoraz rýchlejšie (pred 3 rokmi)