Читайте также
3.2. Искать!
Рано или поздно на компьютере накапливается столько файлов, что найти что-нибудь нужное – это проблема. Речь не идет о всяких служебных и системных файлах, которые размножаются в недрах Windows. Нет, речь о документах, которые пользователь сам создает, копирует,
Где искать ошибку
Так просто и не скажешь, нет характерных признаков. Самый эффективный способ – провести анализ
Где искать ошибку
Любое приложение, обладающее перечисленными ниже признаками, уязвимо для атаки с кросс–сайтовым сценарием:? Web–приложение принимает данные из строки запроса, заголовка или формы;? приложение не проверяет корректность данных;? приложение отправляет
Где искать ошибку
Этот грех обычно проявляется, когда:? приложение пользуется сетью;? проектировщик не обращает внимания на риски, связанные с работой в сети, или недооценивает их.Например, типичный аргумент звучит так: «мы ожидаем, что этот порт будет доступен только из
Где искать ошибку
Искать нужно места в программе, где:? Web–приложение получает секретную информацию из формы или из URL;? для принятия решения о безопасности, доверии или авторизации используются данные;? данные передаются по незащищенному или не заслуживающему доверия
Где искать ошибку
Есть несколько мест, на которые следует обратить внимание, и прежде всего это недостаточно тщательная проверка подлинности сертификата. Ищите места, где:? используется SSL или TLS;? не используется HTTPS;? ни библиотека, ни приложение не проверяют, что
Где искать ошибку
Места проявления этого греха найти несложно. Используются ли в программе традиционные методы или «самописная» система проверки пароля без дополнительных механизмов аутентификации? В последнем случае программа «живет во грехе». Обычно с таким грехом
Где искать ошибку
Чтобы обнаружить ошибки управления доступом, ищите в коде места, где:? устанавливаются элементы управления доступом;? разрешение на запись дается низко привилегированным пользователям; или? создается объект, без явного задания прав доступа к нему;? этот
Где искать ошибку
Обращайте внимание на следующие места:? процесс посылает пользователям информацию, получаемую от ОС или среды исполнения;? операции над секретными данными, время завершения которых не фиксировано и зависит от обрабатываемых данных;? случайное
Где искать ошибку
Вашу программу можно заподозрить в грехе, если:? она обращается к файлам, имена которых задаются извне;? она обращается к файлам исключительно по именам, а не по описателям или дескрипторам;? она открывает временные файлы в общедоступных каталогах, причем
Где искать ошибку
Этому греху подвержено любое приложение, выступающее в роли клиента или сервера в сети, где соединения аутентифицируются, а также в тех случаях, когда по какой–то причине нужно знать, кто находится на другом конце соединения. Если вы просто решили
Где искать ошибку
Гонки чаще всего возникают при следующих условиях:? Несколько потоков или процессов должны осуществлять запись в один и тот же ресурс. Ресурсом может быть разделяемая память, файловая система (например, когда несколько Web–приложений манипулируют
Где искать ошибку
Согрешить можно в любом приложении, которое выполняет аутентификацию по сети в ситуации, когда для этого требуется установить соединение, защищенное криптографическими методами. Фундаментальная проблема в том, что автор не осознает, что соединение
Где искать ошибку
Этот грех может проявиться в любой ситуации, когда нужно хранить некоторые данные в секрете, не допуская даже случайного угадывания. Вне зависимости от того, используется шифрование или нет, наличие хорошего источника случайных чисел – одно из ключевых
Где искать ошибку
С общей точки зрения, ошибка состоит в невнимании к тому, как типичный пользователь будет работать с частями программы, относящимися к безопасности. Эту ошибку совершают многие, но явно указать на нее сложно. Мы обычно смотрим, предприняты ли в проекте
Искать!
Рано или поздно на компьютере накапливается столько файлов, что найти что-нибудь нужное – это проблема. Речь не идет о служебных и системных файлах, которые размножаются в недрах Windows. Нет, речь о документах, которые пользователь сам создает, копирует, получает по