Un error de seguridad o un defecto de seguridad es un error de software que puede explotarse para obtener acceso no autorizado o privilegios en un sistema informático. Los errores de seguridad introducen vulnerabilidades de seguridad al comprometer uno o más de:
- Autenticación de usuarios y otras entidades [1]
- Autorización de derechos y privilegios de acceso [1]
- Confidencialidad de los datos
- Integridad de los datos
Los errores de seguridad no necesitan ser identificados ni explotados para calificar como tales y se supone que son mucho más comunes que las vulnerabilidades conocidas en casi cualquier sistema.
Causas
Los errores de seguridad, como todos los demás errores de software , se derivan de causas fundamentales que, por lo general, pueden atribuirse a su ausencia o insuficiencia: [2]
- Capacitación para desarrolladores de software
- Análisis de casos de uso
- Metodología de la ingeniería de software
- Pruebas de aseguramiento de la calidad
- ... y otras mejores prácticas
Taxonomía
Los errores de seguridad generalmente se clasifican en un número bastante pequeño de categorías amplias que incluyen: [3]
- Seguridad de la memoria (por ejemplo, desbordamiento del búfer y errores de puntero colgando )
- Condición de carrera
- Manejo seguro de entrada y salida
- Uso incorrecto de una API
- Manejo inadecuado de casos de uso
- Manejo inadecuado de excepciones
- Fugas de recursos , a menudo, pero no siempre, debido a un manejo inadecuado de excepciones
- Procesar previamente las cadenas de entrada después de comprobar que son aceptables.
Mitigación
Ver también
- La seguridad informática
- Hacking: The Art of Exploitation Segunda edición
- Riesgo de TI
- Amenaza (computadora)
- Vulnerabilidad (informática)
- Error de hardware
- Codificación segura
Referencias
- ^ a b "CWE / SANS TOP 25 Errores de software más peligrosos" . SANS . Consultado el 13 de julio de 2012 .
- ^ "Calidad y seguridad del software" . 2008-11-02 . Consultado el 28 de abril de 2017 .
- ^ "Categorías de vulnerabilidad de seguridad en los principales sistemas de software" . 2006-01-01 . Consultado el 28 de abril de 2017 .
Otras lecturas
- Proyecto de seguridad de aplicaciones web abiertas (21 de agosto de 2015). "Lista de los 10 principales de 2013" .
- "CWE / SANS TOP 25 Errores de software más peligrosos" . SANS . Consultado el 13 de julio de 2012 .