Задание для самостоятельной работы (сентябрь–октябрь)

Большинство проблем с информационной безопасностью происходит не из-за взлома самих криптографических функций, а либо из-за некорректного их использования, либо вообще никак не связаны с криптографией.

В рамках самостоятельной работы вам предлагается изучить, из-за чего возникали проблемы в реальных приложениях. Для этого вам нужно ознакомиться с составленным OWASP¹ отчётом о десяти наиболее проблемных категориях уязвимостей, OWASP Top10.

Ознакомьтесь с описанием каждой из категорий и выберите одну из них. В описании категории есть раздел «List of Mapped CWEs»². Выберите CWE, который содержит одну или более примеров уязвимостей³.

По выбранному CWE подготовьте пятиминутный доклад, в котором опишите:

категорию, к которой относится CWE;
что это за тип уязвимостей;
каковы типичные последствия таких уязвимостей (например, на конфиденциальность, целостность и доступность данных);
какие существуют методы борьбы с этими уязвимостями;
по возможности, пример кода с подобной уязвимостью и исправленного кода;
конкретный CVE, относящийся к данному типу CWE.

При описании CVE продемонстрируйте:

суть уязвимости;
оценку CVSS⁴ этой уязвимости (и пояснить, как она была получена, т.е. объяснить строку с соответствующим вектором);
участок кода, где она была обнаружена;
как эта уязвимость может использоваться;
как код был исправлен.

Необходимые ссылки

OWASP
OWASP Top10
база данных CWE (типы уязвимостей)
база данных CVE (уязвимости)
CVSS
калькулятор CVSS

Сноски:

OWASP — Open Web Application Security Project

CWE — Common Weakness Enumeration, база данных типов уязвимостей

CVE — Common Vulnerabilities and Exposures, база общеизвестных конкретных уязвимостей конкретных продуктов

⁴

CVSS — Common Vulnerability Scoring System, система оценки уязвимостей