https://opennet.dev/openforum/vsluhforumID3/63997.html Институт SANS (SysAdmin, Audit, Network, Security), совместно с организацией MITRE и ведущими экспертами по компьютерной безопасности, подготовил (http://cwe.mitre.org/top25/) новую редакцию рейтинга 25 самых опасных ошибок, приводящих к возникновению серьезных уязвимостей. Ошибки были отобраны с учетом их распространенности, трудоемкости обнаружения и простоты эксплуатации уязвимости. В опубликованном документе подробно разбирается каждый из 25 видов ошибок, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок.<br><br><br>Краткое содержание рейтинга (цифра вначале указывает на место в рейтинге):<br><br><br><br>- <br>Небезопасное взаимодействие между компонентами<br>, определяет проблемы, вызванные небезопасной отправкой или получением данных между модулями, программами, процессами, нитями или системами.<br><br><br><br>- 1 (http://cwe.mitre.org/top25/#CWE-79): Неспособность сохранения структуры web-страницы, что позволяет злоумышленнику внедрить на страницу с...<br><br>URL: http://cwe.mit https://opennet.dev/openforum/vsluhforumID3/63997.html#75 Mon, 04 Jul 2011 05:15:19 GMT админам составьте пожалуйста ПОЛНЫЙ список из инета, обязательно по категорям (языки, назначение программ/алгоритмов,....).<br>+ &gt;"Отсутствие шифрования конфиденциальных данных, например, хранение номера кредитной карты в БД в открытом виде"<br>- полуказанно, так даже шифруя их - они могут быть взломаны, или тупо проданы персоналом или владельцем.<br>----<br>+ использование скриптов - как формы backdoor под видом ошибок транслятора/JIT или библиотек, тем более если могут выполнять себя динамически(без компиляции/трансляции) вроде интернетовских<br> https://opennet.dev/openforum/vsluhforumID3/63997.html#74 Wed, 12 May 2010 09:50:49 GMT &gt;&gt; MVC никто не отменял. <br>&gt;<br>&gt;я скорее о том что очень многие php программисты или о нём <br>&gt;совсем не знают, или не понимают зачем он им нужен (или <br>&gt;не нужен). В большинстве дискуссий это заметно. <br><br>А вы даже для HelloWorld готовы юзать MVC?<br><br> https://opennet.dev/openforum/vsluhforumID3/63997.html#73 Wed, 12 May 2010 09:47:08 GMT &gt;&gt; есть необходимость динамического построения сложных аналитических запросов по всей базе, в зависимости от текущих желаний пользователя, построитель у него есть.<br>&gt;<br>&gt;Это все-таки не обычное использование БД, исключение, а не норма. Речь о <br>&gt;том, что использование запросов с параметрами &#8212; норма, а манипуляции со <br>&gt;строками &#8212; для исключительных случаев. <br>&gt;<br>&gt;&gt; ни о каком всестороннем анализе безопасности речи сами понимаете быть не может.<br>&gt;<br>&gt;Увы. Но вы же не криптографическую систему разрабатываете, а веб-приложение, так ли <br>&gt;все сложно? <br><br>Ошибаетесь. Это давно уже норма. Время, когда все можно было сделать запросами вида SELECT * FROM x WHERE y - прошло. Множество запросов строится "на лету", исходя из разношерстных пожеланий пользователя.<br> https://opennet.dev/openforum/vsluhforumID3/63997.html#71 Sat, 20 Feb 2010 20:52:34 GMT &gt;это все я пишу в ответ на заявления человека о многих сотнях <br>&gt;дыр в виндах в 2009 году... <br><br>Вы ссылались на статистику по числу дыр в Red Hat, а не только в настольных приложениях. То что в Rad Hat и Windows несколько разный объем приложений вас не смутило.<br> https://opennet.dev/openforum/vsluhforumID3/63997.html#70 Sat, 20 Feb 2010 20:49:38 GMT &gt;Только по ядру Linux: 38! уязвимостей только в ядре!!! за 2009 год. <br><br>Посмотрите на усердно вами цитируемом secunia степень опасности этих уязвимостей - Less critical или Not critical. Я ни одной даже со статусом Moderately critical (умеренная опасность) не смог найти. Теперь набираем в поиске http://secunia.com/advisories/search/ Windows и видим только за февраль 9 уязвимостей из которых половина имеет статус Highly critical. Теперь я понимаю почему вас не любят на этом форуме, вы упорно подтасовывайте факты.<br> https://opennet.dev/openforum/vsluhforumID3/63997.html#69 Sat, 20 Feb 2010 19:11:12 GMT это все я пишу в ответ на заявления человека о многих сотнях дыр в виндах в 2009 году... <br><br><br> https://opennet.dev/openforum/vsluhforumID3/63997.html#68 Sat, 20 Feb 2010 19:10:16 GMT &gt;28 дыр дающих удаленно права администратора и 135 Cross Site Scriptirng дыр <br>&gt;в web-приложениях это вы мощно сравнили. <br><br>какие веб-приложения в настольных системах... читайте внимательно<br><br> https://opennet.dev/openforum/vsluhforumID3/63997.html#67 Sat, 20 Feb 2010 19:09:40 GMT Только по ядру Linux: 38! уязвимостей только в ядре!!! за 2009 год. Это без всяких Xов, графической оболочки и др. А значит - присутствовали во всех! дистрибутивах Linux в 2009 году на ядре 2.6.... http://secunia.com/advisories/product/2719/?task=statistics_2009<br> https://opennet.dev/openforum/vsluhforumID3/63997.html#66 Sat, 20 Feb 2010 17:22:08 GMT 28 дыр дающих удаленно права администратора и 135 Cross Site Scriptirng дыр в web-приложениях это вы мощно сравнили.<br>