Kategorija: Žandarji

Top 25 programerskih napak

Četrtek, 30 junij 2011 13:52 Avtor brane 0 komentarjev

CWE/SANS sta objavila dokument Top 25 programerskih napak, katerih posledica so lahko kritične varnostne pomanjkljivosti v aplikativni opremi. Lestvica je v marsičem podobna OWASP-ovi Top Ten varnostnih pomanjkljivosti v spletnih aplikacijah. Ugotovitve ne presenečajo, pomanjkljivosti so nam že dolgo znane, pa vendar marsikatera, tudi nova aplikacija na njih ni imuna. Spodaj je lista napak s povezavami na podrobnejše opise.

Rank

Score

ID

Name

[1]

93.8

CWE-89

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

[2]

83.3

CWE-78

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

[3]

79.0

CWE-120

Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')

[4]

77.7

CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

[5]

76.9

CWE-306

Missing Authentication for Critical Function

[6]

76.8

CWE-862

Missing Authorization

[7]

75.0

CWE-798

Use of Hard-coded Credentials

[8]

75.0

CWE-311

Missing Encryption of Sensitive Data

[9]

74.0

CWE-434

Unrestricted Upload of File with Dangerous Type

[10]

73.8

CWE-807

Reliance on Untrusted Inputs in a Security Decision

[11]

73.1

CWE-250

Execution with Unnecessary Privileges

[12]

70.1

CWE-352

Cross-Site Request Forgery (CSRF)

[13]

69.3

CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

[14]

68.5

CWE-494

Download of Code Without Integrity Check

[15]

67.8

CWE-863

Incorrect Authorization

[16]

66.0

CWE-829

Inclusion of Functionality from Untrusted Control Sphere

[17]

65.5

CWE-732

Incorrect Permission Assignment for Critical Resource

[18]

64.6

CWE-676

Use of Potentially Dangerous Function

[19]

64.1

CWE-327

Use of a Broken or Risky Cryptographic Algorithm

[20]

62.4

CWE-131

Incorrect Calculation of Buffer Size

[21]

61.5

CWE-307

Improper Restriction of Excessive Authentication Attempts

[22]

61.1

CWE-601

URL Redirection to Untrusted Site ('Open Redirect')

[23]

61.0

CWE-134

Uncontrolled Format String

[24]

60.3

CWE-190

Integer Overflow or Wraparound

[25]

59.9

CWE-759

Use of a One-Way Hash without a Salt

 

Microsoft popravki Junij 2011

Sreda, 15 junij 2011 09:03 Avtor brane 0 komentarjev

Microsoft je objavil varnostne popravke za mesec Junij 2011. Tokrat 16 popravkov (od tega 9 nosi oznako KRITIČNO), ki odpravljajo 34 varnostnih pomanjkljivosti v Windows OS, Silverlight, Microsoft Forefront, Internet Explorer, Office, .NET, SQL in Visual studio programski opremi. Veselo na delo .

 

Webcast: June 2011 Security Bulletin Release Overview

Microsoft Security Update Guide

Torek, 03 maj 2011 12:31 Avtor brane 0 komentarjev

Microsoft je objavil drugo različico dokumenta z naslovom "Microsoft Security Update Guide". Vsi dobro poznamo Microsoftov sistem varnostnih popravkov, ki pa lahko postane za marsikatero okolje prava nočna mora. Pri našem izvajanju varnostnih testiranj ugotavljamo, da so varnostni popravki ena od šibkejših točk v večini okolij. Razlogi za to so različni – okolje nima časa oziroma nima izdelanega postopka za nameščanje varnostnih popravkov (razvojno, testno, produkcijsko okolje…), razvoj aplikacij zaostaja za nivojem varnostnih priporočil ali pa v najslabšem primeru niti niso seznanjeni z objavo varnostnih popravkov in tveganji, ki so povezani s tem problemom.

Dokument podrobno opisuje sistem Microsoftovih varnostnih popravkov, njihovo testiranje v MS okolju pred objavo popravka, posreduje priporočila za testiranje in namestitev v vašem okolju. Kot so napisali v uvodu, je cilj dokumenta pomoč IT upravljalcem pri vzpostavitvi primernega mehanizma za uvedbo varnostnih popravkov MS aplikacij in operacijskih sistemov v njihovih okoljih.

ISACA poročilo

Četrtek, 21 april 2011 15:22 Avtor brane 0 komentarjev

V zadnjem ISACA poročilu (brezplačen dokument, zahteva registracijo), ki vključuje 2400 njihovih članov iz 126 držav, je skaldnost z regulativami (regulatory compliance) postavljena na vrh vročih tem za leto 2011. Nova dejstva kot so računalništvo v oblaku, hacktivist napadi, napadi na zasebnost, povečujejo varnostna tveganja in zahtevajo nove pristope pri varovanju sistemov in podatkov. Spodaj je povzetek področij in njihova ocena pomembnosti.

  • Regulatory compliance (Score: 4.6)
  • Enterprise-based IT management and governance (Score: 4.4)
  • Information security management (Score: 4.1)
  • Disaster recovery/business continuity (Score: 3.1)
  • Challenges of managing IT risks (Score: 2.5)
  • Vulnerability management (Score: 2.1)
  • Continuous process improvement and business agility (Score: 2.0)