Поделиться
AppSec Solutions: составлен топ ошибок разработчиков, позволяющих атаковать компании
Специалисты AppSec Solutions определили наиболее опасные и часто повторяющиеся ошибки разработчиков. Самой серьезной из часто встречающихся в практике уязвимостей старший управляющий директор AppSec Solutions Антон Башарин назвал Remote Code Execution. Это критическая уязвимость программного обеспечения, которая позволяет злоумышленнику удаленно запустить вредоносный код. Система компании допускает возможность загрузить и запустить на стороне сервера какой-либо файл. Вторая наиболее часто встречающаяся уязвимость – «повышение привилегий», она позволяет получать права администратора сторонним пользователям, и, соответственно, дает возможность злоумышленникам добраться до инфраструктуры компании. Об этом CNews сообщили представители AppSec Solutions.
«До 95% кода в программном обеспечении – это open-source компоненты. Намеренно измененные фрагменты попадают в ПО компании из открытого кода, который используют подрядчики для разработки какого-либо сервисного ПО, – сказал Антон Башарин. –Поэтому, когда мы используем открытый код, очень важно, чтобы разработчики понимали, какие компоненты используют. Чтобы защитить компанию от критических уязвимостей, необходимо как минимум регулярно проводить OSA – анализ. Необходим сервис, который способен «поднять флаг» при обнаружении подозрительных компонентов, определить, проверяют ли подрядчики фреймворки. Эти меры могут остановить потом уязвимых компонентов».
Точечные меры эксперт называет скорее «антикризисными», поскольку полностью защитить компанию от крупномасштабных атак способно только внедрение в компании культуры РБПО.
Короткая ссылка
