شماره: IRCNE2011071164
تاريخ: 11/4/90
موسسه SANS هفته گذشته گزارش سالانه خود را در مورد خطرناكترين خطاهاي نرم افزاري سال 2011 منتشر كرده و به 25 خطاي برتر در اين زمينه پرداخت. به گفته تعدادي از متخصصين امنيتي، اين فهرست لزوما مسائل جديدي را مطرح نميكند، بلكه به مشكلات قديمي ميپردازد كه همچنان وجود دارند.
در صدر اين فهرست براي سال 2011، تزريق SQL قرار گرفته است كه براي كساني كه مسائل اخير نشت اطلاعات را دنبال كرده باشند، چندان عجيب نيست.
به گفته يكي از محققان امنيتي شركت Stach & Liu، تزريق SQL آسيب پذيري پشت پرده در حملات سوني، Infragaurd و ساير حملات اخير بوده است. مهم نيست كه اين آسيب پذيري در رده اول، چهارم يا دهم قرار گرفته باشد، مساله مهم اين است كه اين خطا همواره يكي از علل اصلي نشت اطلاعات در گذشته بوده است و همچنان نيز خواهد بود.
در سال 2010، تزريق SQL در رده دوم فهرست SANS و پس از اسكريپتهاي بين سايتي (XSS) قرار گرفته بود.
به گفته يكي ديگر از محققين امنيتي، عجيب نيست كه تزريق SQL در صدر اين خطاها قرار گرفته باشد، مساله عجيب اين است كه اقدامات متقابل براي تزريق SQL حداقل 5 سال است كه براي زبانهاي مختلف برنامه نويسي در برنامه هاي وب كاملا شناخته شده، موثر و در دسترس هستند.
در رده دوم فهرست خطاهاي نرم افزاري سال 2011، تزريق دستور سيستم عامل قرار گرفته است. خطاهاي سرريز بافر در مكان سوم، XSS در مكان چهارم و عدم تاييد هويت براي توابع حياتي نيز در رده پنجم قرار گرفته اند.
يكي از محققين شركت امنيتي Qualy اظهار داشت كه به نظر ميرسد خطاهاي نرم افزاري در مرورگرهاي وب بيش از نقايص وب سايتها مورد علاقه مهاجمان هستند.
- 2