«Топ 25 самых опасных ошибок программирования» — это список самых опасных ошибок программирования, которые могут привести к серьезным уязвимостям в программном обеспечении. Они нередки, их легко найти и ими легко воспользоваться. Они опасны, потому что зачастую позволяют злоумышленнику полностью взять под контроль программу, украсть данные или вообще не дать программе функционировать.

Этот список — результат сотрудничества между SANS Institute, MITRE и многих экспертов по информационной безопасности в США и Европе. Список использует опыт, полученный при составлении «Top 20 attack vectors» институтом SANS и «Common Weakness Enumeration (CWE)» корпорацией MITRE.

MITRE поддерживает сайт, посвященный CWE, при поддержке «Национального центра кибербезопасности США» предоставляющий детальные описания 25-ти главных ошибок программирования вместе с авторитетными рекомендациями, как их смягчить и избежать. Сайт CWE также содержит данные по более чем 700 другим ошибкам программирования, проектирования и архитектуры, которые могут привести к уязвимостям.

Основная цель этого списка — устранить уязвимости прямо в зародыше, обучая программистов тому, как исключать наиболее общие ошибки еще до того, как программного обеспечение выпускается. Список будет средством для обучения и осведомления, которое поможет программистам предотвратить те виды уязвимостей, которыми поражена индустрия разработки ПО.

Потребители ПО могут пользоваться тем же списком, чтобы предъявлять более высокие требования к безопасности программного обеспечения. Наконец, менеджеры проектов и CIO (Chief Information Officer) могут использовать данный ТОП 25 для измерения успехов в обеспечении безопасности своих программ.

Как и в прошлом году, список самых опасных ошибок, возглавляют XSS-уязвимости (межсайтовый скриптинг), SQL-инъекции и проблемы связанные с переполнением буфера. Эти и другие ошибки ПО стали причиной взломов миллионов систем, включая недавнюю атаку на Google, поэтому приведённый контрольный список, всегда стоит держать под рукой не только новичкам:

Британская газета The Telegraph, 27 ноября 2009, опубликовала на своём сайте список 10 самых известных хакеров, где, по версии издании на первом месте находится Кевин Митник.

1. Кевин Митник (Kevin Mitnick)
2. Кевин Поулсен (Kevin Poulsen)
3. Адриан Ламо (Adrian Lamo)
4. Стивен Возняк (Stephen Wozniak)
5. Ллойд Блэнкеншип (Loyd Blankenship)
6. Михаэль Кальс (Michael Calce)
7. Роберт Тэппэн Моррис (Robert Tappan Morris)
8. The Masters Of Deception (MoD)
9. Дэвид Смит (David L. Smith)
10. Свен Яшан (Sven Jaschan)

Как показывает список самых опасных паролей и последние статистические данные, многие пользователи всемирной паутины выбирают простые и легкие для подбора пароли.

Недавняя массовая утечка паролей не только продемонстрировала уязвимость населения сети перед злоумышленниками, но и доказала, что немалая часть вины в происшедшем лежит на самих пользователях.

На днях в блоге компании Acunetix, занимающейся разработкой антивирусного программного обеспечение, появилась любопытная запись. Один из специалистов Acunetix - Богдан Кэлин решил проанализировать выложенную в сеть базу пользовательских данных и пришел к весьма удручающим выводам.

Как оказалось, самым популярным в народе паролем стал «123456»: в базе из 10 тыс. паролей он встречался 64 раза. На втором месте по распространенности оказался куда более сложный набор символов - «123456789», его смогли осилить 18 пользователей.

Третье место занял пароль «alejandra» - его выбрали 11 человек. Вообще говоря, мужские и женские имена оказались весьма популярными для использования в качестве паролей: в импровизированном хит-параде Кэлина также оказались имена alberto, alejandro, daniel, roberto, bonita, sebastian и beatriz.

Пару месяцев назад нами, 2Товарища (twocomrades.ru) и Антон Исайкин (isaykin.ru), была обнаружена уязвимость, присущая в основном большим интернет-проектам (вроде Рамблера, Мейла, Яндекса, Оперы и пр.). Удалось получить доступ к файловым структурам известнейших сайтов (в общей сложности 3320 сайтов) и в ряде случаев их полные исходные коды.

Казалось бы, что в XXI веке трудно найти подобную уязвимость. Кажется, что уже всё найдено, а то что не найдено, сидит где-то очень очень глубоко. Оказалось, что корнем сегодняшнего зла является вполне повседневная вещь. Наверняка каждый из вас когда-нибудь имел дело с системой контроля версий SVN.

SVN является продвинутым средством для организации совместной разработки десятков, а то и сотен разработчиков. В силу особенностей архитектуры, SVN хранит в каждой директории проекта свои метафайлы, аккуратно сложенные в скрытую директорию .svn. В одном из файлов под названием entries находится список всех файлов и директорий, расположенных в той же папке, что и .svn.

State of Internet Security Q1–Q2 2009 аналитической службы Websense Security Labs, опубликовал отчёт в котором говориться что 95% всех комментариев в блогах, чатах и на досках объявлений, написанных якобы от имени пользователей, относятся к спаму или являются вредоносными.

За первое полугодие число небезопасных сайтов более чем утроилось, при этом 77% веб-ресурсов, ставших вредоносными, прежде относились к категории обычных (незараженных) интернет-узлов.

69% сайтов с заведомо вызывающим подозрение контентом (порно, азартные игры, продажа лекарств) содержат по меньшей мере одну вредоносную ссылку.

Сведения, приведенные в этой статье, относятся к Windows Internet Explorer 7 и Windows Internet Explorer 8.

Internet Explorer приписывает все веб-сайты к одной из четырех зон безопасности:

- Интернет
- локальная интрасеть
- надежные узлы
- ограниченные узлы

Зона, к которой приписан веб-сайт, задает параметры безопасности, используемые для этого сайта. Можно выбрать, какие сайты приписать к Интернету, надежным или ограниченным узлам.

Добавляя веб-сайт к определенной зоне, можно управлять уровнем безопасности, используемым для этого сайта. Например, если имеется список сайтов, которым вы полностью доверяете, добавьте эти сайты в зону надежных узлов.

Дополнительные сведения о зонах безопасности смотрите в статье Изменение параметров безопасности Internet Explorer.

Уважаемые пользователи сайта www.securrity.ru!

Хотим сообщить Вам, что мы создали новый сервис нашего сайта: WorstPwdZ, где будет печататься список 1001 самых популярных, а значит и самых опасных паролей, которые нежелательно использовать...

Хорошо известно, что около 40% пользователей выбирают одинаковые пароли доступа к своей конфиденциальной информации и проблема в том, что многие из них даже не подозревают об этом...

Также многие пользователи, которые знают это и пытаются защитить важную информацию от злоумышленников или других угроз безопасности, начинают прислушиваться к рекомендациям специалистов по безопасности и думают, что достаточно добавить какой-либо дополнительный символ или цифру к паролю и всё - он защищен, типа создал безопасный и надёжный пароль.