Основан 26 Июля 2013 года
freehacks.ru fhacks.me fhacks.pw fhacksnplmzxaaoo.onion
HashFlare

Показано с 1 по 2 из 2
  1. #1
    TopicStarter
    Аватар для Fischer2014

    Статус
    Offline
    Регистрация
    25.04.2014
    Сообщений
    377
    Репутация
    143 + / -
    Программист

    5 ошибок, которые делают программисты в сфере информационной безопасности



    Журнал InfoWorld составил [Только зарегистрированные могут видеть это. ], которые совершают программисты при написании кода. По мнению экспертов, именно благодаря этим ошибкам злоумышленники получают несанкционированный доступ в систему, могут скопировать учётные данные пользователей и т.д.

    Итак, вот список главных ошибок.

    1. Вы доверяете коду неизвестного происхождения.

    В процессе написания программы почти каждый разработчик копирует фрагменты кода со стороны. Часто бывает так, что сторонние библиотеки не обеспечивают достаточного уровня безопасности. Последний пример такого рода — библиотека OpenSSL, в которой несколько месяцев назад обнаружили критическую уязвимость.

    Что делать в такой ситуации? Конечно, писать всё с нуля — не выход, но нужно, по крайней мере, более тщательно относиться к заимствованию кода.

    2. Указание паролей открытым текстом.

    Часто разработчики в целях тестирования указывают пароли для прямого доступа к сервису, а потом забывают удалить их. Такие пароли, фактически, являются бэкдорами. Они предоставляют неограниченный доступ в систему, и их могут узнать посторонние люди.

    3. Отсутствие проверки входящих значений.

    SQL-инъекции и удалённые выполнение кода — самые популярные и опасные уязвимости нашего времени. Такая ситуация возникла, потому что веб-приложения доверяют любым данным, полученным из внешнего источника через веб-форму. Манипулируя содержимым SQL-запроса, злоумышленник может заставить СУБД выполнить действие, которое разработчики не предусмотрели: например, скопировать все записи с именами пользователей и паролями.

    4. Отсутствие защиты данных.

    Отсутствие шифрования данных на сервере — одна из самых распространённых ошибок разработчиков. Нужно защищать всю чувствительную информацию: имена, пароли, персональные идентификаторы пользователей и проч. Простого использования шифрования недостаточно, нужно ещё грамотно его реализовать.

    5. Игнорирование сетевого уровня OSI 8.

    В стандарте OSI такого уровня не существует, но его часто упоминают, имея в виду людей, которые будут использовать ваше программное обеспечение. Нужно понимать, что зачастую взлом ПО осуществляется не через баги, а через людей, которые пользуются вашей программой. Речь идёт о социальной инженерии. Разработчик должен сделать пользовательский интерфейс максимально простым и понятным, чтобы никого нельзя было ввести в заблуждение.
    C\C++, C#, PHP

  2. 2 пользователя(ей) сказали cпасибо:
  3. #2
    Аватар для Suicidemouse

    Статус
    Offline
    Регистрация
    02.12.2013
    Сообщений
    351
    Репутация
    149 + / -
    Безопасность
    Херово когда разрабочики начинают не фиксить баги а лепить костыли.
    «Вози кусты и героин, а то останешься рабом» © Буравчик

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.