Вопрос №3: «Классификация уязвимостей информационных систем»
Ответ:
В компьютерной безопасности, термин
уязвимость (англ. vulnerability) используется
для обозначения недостатка в системе,
используя который, можно нарушить её
целостность и вызвать неправильную
работу. Уязвимость может быть результатом
ошибок программирования, недостатков,
допущенных при проектировании системы,
ненадежных паролей, вирусов и других
вредоносных программ, скриптовых, а
также SQL-инъекций. Некоторые уязвимости
известны только теоретически, другие
же активно используются и имеют известные
эксплойты.
Распространённые
типы уязвимостей включают в себя:
-
Нарушения безопасности
доступа к памяти, такие как:
-
Переполнения
буфера
-
Висящие
указатели
-
Ошибки проверки
вводимых данных, такие как:
-
ошибки
форматирующей строки
-
Неверная
поддержка интерпретации метасимволов командной
оболочки
-
SQL-инъекция
-
Инъекция
кода
-
E-mail
инъекция
-
Обход
каталогов
-
Межсайтовый
скриптинг в веб-приложениях
-
Межсайтовый
скриптинг при наличии SQL-инъекции
-
Состояния
гонки, такие как:
-
Ошибки путаницы
привилегий, такие как:
-
Эскалация
привилегий, такие как: