The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Рейтинг самых опасных ошибок при создании программ"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от opennews (ok) on 01-Июл-11, 15:53 
Институт SANS (SysAdmin, Audit, Network, Security), совместно с организацией MITRE и ведущими экспертами по компьютерной безопасности, подготовил (http://cwe.mitre.org/top25/index.html) новую редакцию рейтинга 25 самых опасных ошибок, приводящих к возникновению серьезных уязвимостей. Рейтинг построен на основе анализа уязвимостей, обнаруженных в течение 2010 года. Ошибки были отобраны с учетом их распространенности, трудоемкости обнаружения и простоты эксплуатации уязвимости. В опубликованном документе подробно разбирается каждый из 25 видов ошибок, приводятся примеры уязявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок.


Степень важности ошибки определена с учетом легкости обнаружения проблемы, простоты эксплуатации уязвимости и степени опасности в случае поражения системы (например, полный контроль над ОС, утечка данных или вызов отказа в обслуживании). По сравнению с прошлогодним рейтингом, в этом году ошибки, приводящие к подстановке SQL-зап...

URL: http://cwe.mitre.org/top25/index.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=31061

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Рейтинг самых опасных ошибок при создании программ"  –11 +/
Сообщение от VoDA (ok) on 01-Июл-11, 15:53 
Вроде как бОльшая часть этих ошибок - чисто PHP или близкие к нему.

Пишите люди на Java и не будет SQL injection и минимум десятки указанных уязвимостей )))

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Рейтинг самых опасных ошибок при создании программ"  +1 +/
Сообщение от XPEH email on 01-Июл-11, 15:59 
> Пишите люди на Java и не будет SQL injection

Ну да конечно.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Рейтинг самых опасных ошибок при создании программ"  +12 +/
Сообщение от Аноним (??) on 01-Июл-11, 16:04 
Жабистов сразу видно: они полагают что умный фреймворк почему-то заменяет программеру мозг. В результате - самое ламерское шифрование, идиотские ошибки авторизации, тотальное доверие вводу пользователя и прочие классические баги - у жабистов просто дуром прут. А что, за них же фреймворк подумает.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "Рейтинг самых опасных ошибок при создании программ"  +1 +/
Сообщение от VoDA (ok) on 01-Июл-11, 16:52 
> Жабистов сразу видно: они полагают что умный фреймворк почему-то заменяет программеру мозг.
> В результате - самое ламерское шифрование, идиотские ошибки авторизации, тотальное доверие
> вводу пользователя и прочие классические баги - у жабистов просто дуром
> прут. А что, за них же фреймворк подумает.

Шифрование, ЭЦП по ГОСТ-у. Может С++ или PHP делает не ГОСТ шифрование, но это дело наказуемое )))

Я считаю, что если есть возможность сделать ошибку программер рано или поздно ее совершит. А на большом проекте однозначно совершит.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

20. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от Карбофос (ok) on 01-Июл-11, 23:47 
>А на большом проекте однозначно совершит.

конечно совершают, ибо только лицемер может заявить, что он не делает ошибок, или делает их мало. а недалёкие еще и напишут, что фреймворк может их избавить от страданий переполнения стека, уборки мусора и пр.
много недочетов в программе возникает при ее написании. и это естесственно для человека, невозможно все знать, или предвидеть. тем более невозможно предвидеть, к примеру, ошибочную работу железки. главные задачи программиста (если хотите, инженера-программиста) попытаться предвидеть ошибочные ситуации и преждевременно пытаться их присекать; выявить большинство таких ошибок и недочетов в фазе тестирования.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

27. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от AHAHAC (ok) on 03-Июл-11, 02:37 
Проснулся!

$ openssl engine gost -t -c -vvvv

(gost) Reference implementation of GOST engine
[gost89, gost89-cnt, md_gost94, gost-mac, gost94, gost2001, gost-mac]
     [ available ]
     CRYPT_PARAMS: OID of default GOST 28147-89 parameters
          (input flags): STRING

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

8. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от klalafuda on 01-Июл-11, 16:31 
> Пишите люди на Java и не будет SQL injection и минимум десятки указанных уязвимостей )))

Почему то автоматически вспоминается боян про дурака и стеклянный хер.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Рейтинг самых опасных ошибок при создании программ"  +1 +/
Сообщение от VoDA (ok) on 01-Июл-11, 16:45 
почему то в 2011 году еще существуют ошибки типа SQL injection... я сильно удивлен вообще их наличием. И полный ахтунг, что это САМАЯ критичная ошибка.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от klalafuda on 01-Июл-11, 16:54 
> почему то в 2011 году еще существуют ошибки типа SQL injection... я сильно удивлен вообще их наличием. И полный ахтунг, что это САМАЯ критичная ошибка.

Элементарно, Ватсон! Вот когда уберут вот эту ф-ю http://ru2.php.net/manual/en/function.mysql-query.php из API PHP только тогда резко пойдет на спад кол-во инжектов.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от pro100master (ok) on 01-Июл-11, 18:57 
А при чем тут она? Данные надо проверять. Аксиома родилась на следующий день, когда первую программу дали первому пользователю :) Так что причины всех ошибок - в голове.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от Щекн Итрч (ok) on 02-Июл-11, 00:23 
Пока "программист" НЕ СТАНЕТ чистить запросы - будут инъекции.
При чем там пхп ваще?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

22. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 02-Июл-11, 00:56 
> Пока "программист" НЕ СТАНЕТ чистить запросы - будут инъекции.
> При чем там пхп ваще?

Притом, что PHP и другие языки (фреймворки, среды...), которые позволяют легко обращаться со строками, а также «простота» самого SQL провоцируют написание кода в духе:

query("SELECT * FROM table WHERE id = " . $_REQUEST["id"]);

Более того, не раз и не два видел руководства по написанию программ на самых разных языках (но чаще всего именно на PHP), где предлагалось так писать программы, даже без комментария, что это плохо. Чего удивляться, что юные индусские умы, которые банально (ещё) не в курсе нюансов того же SQL, пишут вслед такой же код. Сил ругаться уже нет, просто мрачно считаю.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от Sw00p aka Jerom on 02-Июл-11, 15:16 
идём по ссылке и видим

// Formulate Query
// This is the best way to perform an SQL query
// For more examples, see mysql_real_escape_string()
$query = sprintf("SELECT firstname, lastname, address, age FROM friends WHERE firstname='%s' AND lastname='%s'",
    mysql_real_escape_string($firstname),
    mysql_real_escape_string($lastname));

// Perform Query
$result = mysql_query($query);


пс: уже радует ))))))))))))

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

9. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от Аноним (??) on 01-Июл-11, 16:44 
> Пишите люди на Java и не будет SQL injection и минимум десятки указанных уязвимостей

Девятки десятых производительности вы лишитесь. И не буду про магический float напоминать.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от VoDA (ok) on 01-Июл-11, 16:49 
>> Пишите люди на Java и не будет SQL injection и минимум десятки указанных уязвимостей
> Девятки десятых производительности вы лишитесь. И не буду про магический float напоминать.

0,9% производительности я могу потратить за удобство разработки ;)))

много лет занимаюсь разработками больших корпоративных систем. Везде только int и long - никакой потери точности не допускается. ИМХО float нужен только для обсчета мега-задач по физике и анализу результатов экспериментов, когда потеря точности компенсируется тем, что процессор может оперировать подобными данными напрямую, чем ускоряет обработку.

Для точных систем считаю, что нужно делать обертку поверх int/long и самостоятельно обрабатывать данные без потери точности.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от Andrew Kolchoogin on 01-Июл-11, 17:20 
> Для точных систем считаю, что нужно делать обертку поверх int/long и самостоятельно
> обрабатывать данные без потери точности.

Откройте для себя GNU GMP.

Там есть Arbitrary Precision и для int, и для float. И ещё для рациональных дробей.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

29. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от cerberus on 04-Июл-11, 14:26 
> Девятки десятых производительности вы лишитесь.

А вы уверены, кто вам такие сказки рассказал? PHP каждый божий раз компилирует скрипт и чем больше скрипт, тем дольше компиляция. Есть правда всякие механизмы кеширования, но это костыли, не более. Тогда как JAVA WEB приложение компилируется (JIT) один раз при его запуске и каждый HTTP запрос работает на тред-пуле (Thread pool).  Итог: JavaWeb кушает больше ОЗУ, чем PHP, зато ест меньше процессорного времени, ибо не компилирует скрипт при каждом HTTP запросе.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

33. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от Guest (??) on 04-Июл-11, 17:28 
Ага, видимо кое кто не слышал про кэширование. Откройте для себя eaccelerator, к примеру
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

4. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от qwerty (??) on 01-Июл-11, 16:00 
а чем отличаются п. 20 и п. 3?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от letsmac (ok) on 01-Июл-11, 16:04 
3 - не проверяем размер и корректность данных.
20 - забываем выделить память.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от Аноним (??) on 01-Июл-11, 16:02 
Вроде все честно относительно. Ошибки наиболее типичные и хорошо наблюдаемые на практике.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Рейтинг самых опасных ошибок при создании программ"  –1 +/
Сообщение от pro100master (ok) on 01-Июл-11, 18:59 
> Вроде все честно относительно. Ошибки наиболее типичные и хорошо наблюдаемые на практике.

Более того - все они сводятся к одной единственной - отсутствие должной проверки входных данных :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

17. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 01-Июл-11, 21:27 
Не все. 17, например, имеет отношение скорее к «выходу», чем ко входу.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от pro100master (ok) on 01-Июл-11, 22:05 
Согласен - двояко, но спорно. Проверка прав, локально, это тоже входящие :)
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 01-Июл-11, 22:41 
> Согласен - двояко, но спорно. Проверка прав, локально, это тоже входящие :)

Сама проверка — т.е., авторизация — идёт отдельным пунктом. Здесь же речь о кривости рук админа, которые к данным от юзера-хакера не относятся. :) Ну да не суть, это я так, по привычке придираюсь... :)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "Рейтинг самых опасных ошибок при создании программ"  +2 +/
Сообщение от ZloySergant (ok) on 02-Июл-11, 14:16 
Хм. Штук пять из этого списка лечится умением (не учебой, епт) программирования на асме. В жестких рамках синтаксиса AT&T.

З.Ы. Я не призываю писать код на асме. Просто умение им пользоваться налагает определенный отпечаток на мышление программиста.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от Sw00p aka Jerom on 02-Июл-11, 15:13 
>>Просто умение им пользоваться налагает определенный отпечаток на мышление программиста.

умеющие им пользоваться ваще пишут свои языки и свои оси ))

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от Ytch on 03-Июл-11, 02:24 
> ...лечится умением (не учебой, епт) программирования на асме.
> Просто умение им пользоваться налагает определенный отпечаток на мышление программиста.

Точно! Это как прививка - если есть, то срабатывает автоматически. ))

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

28. "Рейтинг самых опасных ошибок при создании программ"  +2 +/
Сообщение от AHAHAC (ok) on 03-Июл-11, 02:46 
>> ...лечится умением (не учебой, епт) программирования на асме.
>> Просто умение им пользоваться налагает определенный отпечаток на мышление программиста.
> Точно! Это как прививка - если есть, то срабатывает автоматически. ))

Также и автоматически отключается, когда руководитель проекта дышит в затылок,
со словами "Харош х...й заниматься, давай код генерируй!"

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от десептикон on 04-Июл-11, 15:34 
не в бровь, а в глаз :)
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

34. "Рейтинг самых опасных ошибок при создании программ"  +/
Сообщение от Карбофос (ok) on 05-Июл-11, 10:02 
минимизация объёма кода и/или повышение его эффективности, знание "подводных камней" архитектуры и фреймворков...
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру