کد خبر: 15
زمان انتشار: 27 تیر 1390 22:22:00
موسسه SANS هفته گذشته گزارش سالانه خود را در مورد خطرناكترین خطاهای نرم افزاری سال 2011 منتشر كرده و به 25 خطای برتر در این زمینه پرداخت. به گفته تعدادی از متخصصین امنیتی، این فهرست لزوما مسائل جدیدی را مطرح نمیكند، بلكه به مشكلات قدیمی میپردازد كه همچنان وجود دارند.
در صدر این فهرست برای سال 2011، تزریق SQL قرار گرفته است كه برای كسانی كه مسائل اخیر نشت اطلاعات را دنبال كرده باشند، چندان عجیب نیست.
به گفته یكی از محققان امنیتی شركت Stach & Liu، تزریق SQL آسیب پذیری پشت پرده در حملات سونی، Infragaurd و سایر حملات اخیر بوده است. مهم نیست كه این آسیب پذیری در رده اول، چهارم یا دهم قرار گرفته باشد، مساله مهم این است كه این خطا همواره یكی از علل اصلی نشت اطلاعات در گذشته بوده است و همچنان نیز خواهد بود.
در سال 2010، تزریق SQL در رده دوم فهرست SANS و پس از اسكریپتهای بین سایتی (XSS) قرار گرفته بود.
به گفته یكی دیگر از محققین امنیتی، عجیب نیست كه تزریق SQL در صدر این خطاها قرار گرفته باشد، مساله عجیب این است كه اقدامات متقابل برای تزریق SQL حداقل 5 سال است كه برای زبانهای مختلف برنامه نویسی در برنامه های وب كاملا شناخته شده، موثر و در دسترس هستند.
در رده دوم فهرست خطاهای نرم افزاری سال 2011، تزریق دستور سیستم عامل قرار گرفته است. خطاهای سرریز بافر در مكان سوم، XSS در مكان چهارم و عدم تایید هویت برای توابع حیاتی نیز در رده پنجم قرار گرفته اند.
یكی از محققین شركت امنیتی Qualy اظهار داشت كه به نظر میرسد خطاهای نرم افزاری در مرورگرهای وب بیش از نقایص وب سایتها مورد علاقه مهاجمان هستند.
