Error de seguridad

Tipo de error de software

Un error de seguridad o defecto de seguridad es un error de software que puede explotarse para obtener acceso o privilegios no autorizados en un sistema informático. Los errores de seguridad introducen vulnerabilidades de seguridad al comprometer uno o más de:

• Autenticación de usuarios y otras entidades ^[1]
• Autorización de derechos y privilegios de acceso ^[1]
• Confidencialidad de los datos
• Integridad de los datos

No es necesario identificar ni explotar los errores de seguridad para calificarlos como tales y se supone que son mucho más comunes que las vulnerabilidades conocidas en casi cualquier sistema.

Causas

Los errores de seguridad, como todos los demás errores de software , provienen de causas fundamentales que generalmente pueden atribuirse a ausencia o insuficiencia: ^[2]

• Formación de desarrolladores de software.
• Análisis de casos de uso
• Metodología de la ingeniería de software
• Pruebas de control de calidad
• y otras mejores prácticas

Taxonomía

Los errores de seguridad generalmente se dividen en un número bastante pequeño de categorías amplias que incluyen: ^[3]

• Seguridad de la memoria (por ejemplo , desbordamiento del búfer y errores de puntero colgante )
• Condición de carrera
• Manejo seguro de entrada y salida
• Uso incorrecto de una API
• Manejo inadecuado de casos de uso
• Manejo inadecuado de excepciones
• Fugas de recursos , a menudo, pero no siempre, debido a un manejo inadecuado de excepciones
• Preprocesar cadenas de entrada antes de comprobar que sean aceptables

Mitigación

Consulte garantía de seguridad del software .

Ver también

• La seguridad informática
• Hacking: el arte de la explotación
• riesgo de TI
• Amenaza (computadora)
• Vulnerabilidad (informática)
• Error de hardware
• Codificación segura

Referencias

1. "CWE/SANS TOP 25 errores de software más peligrosos". SANS . Consultado el 13 de julio de 2012 .
2. "Calidad y seguridad del software". 2008-11-02 . Consultado el 28 de abril de 2017 .
3. Alhazmi, Omar H.; Woo, Sung-Whan; Malaiya, Yashwant K. (enero de 2006). "Categorías de vulnerabilidad de seguridad en los principales sistemas de software". Actas de la Tercera Conferencia Internacional IASTED sobre Seguridad de la Información, las Redes y las Comunicaciones .

Otras lecturas

• Proyecto abierto de seguridad de aplicaciones web (21 de agosto de 2015). "Lista de los 10 mejores de 2013".
• "CWE/SANS TOP 25 de los errores de software más peligrosos". SANS . Consultado el 13 de julio de 2012 .