Класифікація уразливостей в початкових кодах
DOI:
https://doi.org/10.18372/2410-7840.8.4958Abstract
Проблема аналізу захищеності програмного забезпечення, вибору ефективних методів і засобів розробки захищених програм та розробки систем виявлення уразливостей в початкових кодах в першу чергу пов'язана із визначенням того, на які класи уразливостей розраховані ті чи інші методи та засоби їх виявлення. Проведене дослідження відомих класифікацій уразливостей в початкових кодах та методів і засобів їх експлуатації. Виявлені суттєві недоліки досліджених класифікацій, що не відповідають критеріям системності та узагальненості. Пропонується класифікувати уразливості в початкових кодах за базовими ознаками, що в основному характеризують уразливості в контексті експлуатаційних умов. Запропонована класифікація може бути використана для побудови комплексних систем аналізу захищеності програмного забезпечення та систем виявлення визначених класів чи окремих підкласів уразливостей в початкових кодах на базі системного підходу.
References
Хогланд Г., Мак-Гроу Г. Взлом программного обеспечения: анализ и использование кода. - М.: Издательский дом "Вильяме", 2005. - 400 с.
Weapons For The Hunt: Methods for Software Risk Assessment. - OunceLabs Inc., 2004,- 14 p.
CERT/CC Overview Incident and Vulnerability Trends. - Pittsburgh: CERT Coordination Center, Software Engineering Institute, Carnegie Mellon University, 2003. - 221 p.
Bishop M., Bailey D. A Critical Analysis of Vulnerability Taxonomies (CSE-96-11), 1996.- 15 p.
Robert C. Seacord, Allen Householder. A Structured Approach to Classifying Security Vulnerabilities. Technical Note. - Pittsburgh: Software Engineering Institute, Carnegie Mellon University, 2005. - 39 p.
Ховард M., ЛебланкД. Защищенный код. - 2-е изд., исир. - Москва: Издательско- торговый дом "Русская Редакция", 2005. - 704 с.
Эриксон Дж. Хакинг: искусство эксплойта. - СПб.: Символ-Плюс, 2005. - 240 с.
Sverre Huseby. Innocent Code: A Security Wake-Up Call for Web Programmers. - John Wiley & Sons, 2004. - 246 p.
Мак-Клар С., Шах С., Шах Ш. Хакинг в Web: атаки и защита. - М.: Издательский дом "Вильяме", 2003. - 384 с.
Бабак В. П., Корченко О. Г. Інформаційна безпека та сучасні мережеві технології: Англо-українсько-російський словник термінів. - К.: НАУ, 2003. - 670 с.
Пройдаков Э. М„ Теплицкий Л. А. Англо-русский толковый словарь по вычислительной технике, Интернету и программированию. - 3-е изд., испр. и доп. - М.: Издательско-торговый дом "Русская Редакция", 2002. - 640 с.
Корченко А. Г. Построение систем защиты информации на нечетких множествах. Теория и практические решения. - К.: "МК-Пресс", 2006. - 320 с.
Downloads
Issue
Section
License
Authors who publish with this journal agree to the following terms:- Authors retain copyright and grant the journal right of first publication with the work simultaneously licensed under a Creative Commons Attribution License that allows others to share the work with an acknowledgement of the work's authorship and initial publication in this journal.
- Authors are able to enter into separate, additional contractual arrangements for the non-exclusive distribution of the journal's published version of the work (e.g., post it to an institutional repository or publish it in a book), with an acknowledgement of its initial publication in this journal.
- Authors are permitted and encouraged to post their work online (e.g., in institutional repositories or on their website) prior to and during the submission process, as it can lead to productive exchanges, as well as earlier and greater citation of published work (See The Effect of Open Access).
