SQL注入,跨站脚本攻击(cross-site scripting)这些我们日常遭遇的的安全问题还在继续泛滥。如何解决系统中现有的攻击漏洞,而不是如何阻止他们不在第一时间发生变异成为IT安全领域关注并讨论的焦点。
最新发布的最具危险性的25大程序错误清单日前浮出水面。这份清单石油由微软、赛门铁克和美国国家安全局在内的30多家企业和机构的专家团队共同编纂完成。通过将这些问题清单和缓解方案结合在一起,编者有效的唤起了大家对普通攻击弱点的关注。
美国国家安全局的托尼.赛格在声明中表示“这份程序错误清单的发布将网络间谍和网络犯罪作为管理我们网络和技术漏洞的重要步骤。我们必须将对成千上百个个体攻击的关注转移到相对数量较少的软件缺陷上来,是这些软件漏洞让攻击成为可能,每个攻击都能追溯到源头所在”。
这份清单将这些程序错误划为三类范畴:组件间不安全的交叉感染,具有危险性的资源管理和漏洞攻击。这些错误范围涵盖从重要的输入确认到很难破译的密码,以及导致跨站脚本攻击和SQL注入攻击等问题。
清单中包含的两项其他的普通错误是错误编码或者输出溢出和错误使用或者不安全的密码运算规则。
根据存储区域网络协会的统计,所有这些程序错误的影响面很广,去年这些错误中有两个就导致超过150万个网站面临安全缺口。
赛格表示,早点关注这些问题能让研发人员尽快改进在研发生命周期内软件的研发过程,工具和需求,也能节约更多的费用。
当对多数问题的认识开始深入人心,用户将对软件厂商施加更多的压力来保证他们交付的代码不存在这些错误。而对于软件厂商而言,这些程序错误的发布可能会不可避免的导致研发团队,市场销售之间的冲突,也会迫使厂商花费更多的时间来改进他们的产品。
Ounce Labs的首席科学家莱恩.伯格在声明中表示“我们会将这份清单作为改进解决方案的鞭策,2009年来解决这些长期困扰我们的问题。使用这份清单能保护我们软件的安全,因为如果过去没有发出这种警示,那么明天的决策就会显得太迟”。
