Компьютерные эксперты из 30 организаций со всего света в очередной раз составили список из 25 самых опасных программных ошибок, не забыв при этом порекомендовать способы их недопущения. В целом рекомендации сводятся к одному – необходимо еще на стадии подписания контрактов прописывать ответственность разработчиков за наличие багов.

Новый список поразительно похож на тот, что был опубликован в прошлом году, когда эксперты по безопасности по всему миру достигли формального соглашения о том, какие баги считать самыми опасными и распространенными. Цель проекта – привлечь внимание к незаметным на первый взгляд ошибкам, из-за наличия которых впоследствии и проявляются различные уязвимости.

1. Failure to Preserve Web Page Structure ('Cross-site Scripting')

2. Improper Sanitization of Special Elements used in an SQL Command ('SQL Injection')

3. Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')

4. Cross-Site Request Forgery (CSRF)

5. Improper Access Control (Authorization)

6. Reliance on Untrusted Inputs in a Security Decision

7. Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

8. Unrestricted Upload of File with Dangerous Type

9. Improper Sanitization of Special Elements used in an OS Command ('OS Command Injection')

10. Missing Encryption of Sensitive Data

11. Use of Hard-coded Credentials

12. Buffer Access with Incorrect Length Value

13. Improper Control of Filename for Include/Require Statement in PHP Program ('PHP File Inclusion')

14. Improper Validation of Array Index

15. Improper Check for Unusual or Exceptional Conditions

16. Information Exposure Through an Error Message

17. Integer Overflow or Wraparound

18. Incorrect Calculation of Buffer Size

19. Missing Authentication for Critical Function

20. Download of Code Without Integrity Check

21. Incorrect Permission Assignment for Critical Resource

22. Allocation of Resources Without Limits or Throttling

23. Redirection to Untrusted Site ('Open Redirect')

24. Use of a Broken or Risky Cryptographic Algorithm

25. Race Condition

Среди составителей списка значатся некоммерческая организация MITRE, Sans Institute, Агентство национальной безопасности США и подразделение национальной киберзащиты, входящее в структуру Министерства внутренней безопасности Соединенных Штатов. Возглавляют распространяемый ими перечень такие известные проблемы, как межсайтовый скриптинг (XSS), SQL-инъекции и ошибки, связанные с переполнением буфера.

Наличие 25 приведенных авторами ошибок сделало возможным проведение практически всех крупных кибератак в современной истории, включая знаменитую атаку на Google и еще 33 крупных компании. Эти же бреши стали причиной многочисленных взломов военных компьютерных систем, а также миллионов компьютеров малых предприятий и простых пользователей.