Error de seguridad

Tipo de error de software

Un error o defecto de seguridad es un error de software que puede aprovecharse para obtener acceso o privilegios no autorizados en un sistema informático. Los errores de seguridad introducen vulnerabilidades de seguridad al comprometer uno o más de los siguientes elementos:

• Autenticación de usuarios y otras entidades ^[1]
• Autorización de derechos de acceso y privilegios ^[1]
• Confidencialidad de los datos
• Integridad de los datos

Los errores de seguridad no necesitan ser identificados ni explotados para ser calificados como tales y se supone que son mucho más comunes que las vulnerabilidades conocidas en casi cualquier sistema.

Causas

Los errores de seguridad, como todos los demás errores de software , tienen causas profundas que generalmente pueden atribuirse a la ausencia o a la insuficiencia de: ^[2]

• Formación para desarrolladores de software
• Análisis de casos de uso
• Metodología de ingeniería de software
• Pruebas de garantía de calidad
• y otras mejores prácticas

Taxonomía

Los errores de seguridad generalmente se dividen en un número bastante pequeño de categorías amplias que incluyen: ^[3]

• Seguridad de la memoria (por ejemplo, desbordamiento de búfer y errores de puntero colgado )
• Condición de carrera
• Manejo seguro de entrada y salida
• Uso incorrecto de una API
• Manejo inadecuado de casos de uso
• Manejo inadecuado de excepciones
• Fugas de recursos , a menudo, pero no siempre, debido a un manejo inadecuado de excepciones
• Preprocesamiento de cadenas de entrada antes de verificar que sean aceptables

Mitigación

Ver garantía de seguridad del software .

Véase también

• Seguridad informática
• Hacking: el arte de la explotación
• Riesgo de TI
• Amenaza (informática)
• Vulnerabilidad (informática)
• Error de hardware
• Codificación segura

Referencias

1. "CWE/SANS TOP 25 Most Dangerous Software Errors" (Los 25 errores de software más peligrosos según CWE/SANS). SANS . Consultado el 13 de julio de 2012 .
2. "Calidad y seguridad del software". 2008-11-02 . Consultado el 2017-04-28 .
3. Alhazmi, Omar H.; Woo, Sung-Whan; Malaiya, Yashwant K. (enero de 2006). "Categorías de vulnerabilidad de seguridad en los principales sistemas de software". Actas de la Tercera Conferencia Internacional IASTED sobre Seguridad de las Comunicaciones, las Redes y la Información .

Lectura adicional

• Proyecto de seguridad de aplicaciones web abiertas (21 de agosto de 2015). "Lista de los 10 principales de 2013".
• "Los 25 errores de software más peligrosos según CWE/SANS". SANS . Consultado el 13 de julio de 2012 .