Pokaż wyniki 1 do 4 z 4

Temat: Raport o CWE/SANS TOP 25 Most Dangerous Software Errors

  1. #1
    Zarejestrowany
    Jun 2010
    Postów
    226

    Question Raport o CWE/SANS TOP 25 Most Dangerous Software Errors

    Witam mam do napisania raport na uczelnie na podstawie raportu zamieszczonego w tytule (SANS: CWE/SANS TOP 25 Most Dangerous Software Errors)

    Poradzice jak sie do tego zabrac?
    Od czego zaczac napisac o wszystkich bledach w oprogramowaniu czy tylko
    wybrac moim zdaniem najwazniejsze?
    Jak rozplanowac cos takiego?
    Bede wdzieczny za kazde nnawet najmniejsze sugestie

    (Wybaczcie nie mam mozliwosci poprawy bledow ortograficznych)

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Zastosuj to co zrobil SANS - 3 glowne kategorie... z tych szesciu w pierwszej kategorii masz 3 rodzaje 'injection' (sql, command, code) i brak poprawnej obslugi danych wejsciowych.
    Kategoria zarzadzania zasobami to po prostu lista tego gdzie programisci zawsze daja ciala bo nie wiedza co robia, nie dla tego ze jest to cos co jest zwiazane z bezpieczenstwem.
    Ostatnia kategoria mowi sama za siebie - odkrywanie kola na nowo i 'wiemy ze gdzies dzwoni ale nie wiemy gdzie' - czyli nic nowego...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Jun 2010
    Postów
    226

    Domyślnie

    Ok
    Czyli abstract: Co mial na celu uswiadomic/przekazac ten raport

    Pozniej 3 sekcje z kazdej wybieram z bledy woprogramowaniu
    Insecure Interaction Between Components
    -Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
    -Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
    -Unrestricted Upload of File with Dangerous Type

    Risky Resource Management
    -Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
    -Download of Code Without Integrity Check
    -Incorrect Calculation of Buffer Size
    Porous Defenses
    Jesli chodzi o to moglibyscie pomoc wybrac z tej listy cos co mozna w miare latwo wytlumaczyc bez wkraczania w zbyt zawile i techniczne szczegoly?

    Dodatkowo wykladowca powiedzial by skupic sie na trendach ktore mozna hmm wyznaczyc w danym raporcie ale ja jestem przekonany ze jesli chodzi o programowanie nie ma wlasciwie zadnych trendow bo bledy sa na poziomie jezyka programowania a nie tak jak nie wiem w ISSA/UCD Cybercrime Survey 2008 mamy np trend takie ze jest znaczny wzrost phishing'u itp.
    Wiec prosze czy mozecie znalesc jakies trendy w tym raporcie (oprocz tego ze bledy programistyczne byly i zawsze beda wystepowac?)

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Jesli bledy typu 'injection' dominuja we wszystkich raportach przez ostatnie 10 lat to znaczy ze sa trendem... a programisci nadal nie potrafia poprawnie dekodowac danych wejsciowych i wyjsciowych - dlatego masz sql/command/code injection i XSS zarowno reflected jak i persistent.

    Ja tu widze bardzo wyrazny trend...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Tagi

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52