ГОСТ Р 56546-2015
5 Классификация
5.1 Уязвимости ИС по области происхождения подразделяются на следующие классы:
- уязвимости кода:
- уязвимости конфигурации;
- уязвимости архитектуры;
- организационные уязвимости;
- многофакторные уязвимости.
П р и м е ч а н и е - В целях выявления и оценки уязвимостей информационных систем могут выделяться
подклассы уязвимостей.
5.2 Уязвимости ИС по типам недостатков ИС подразделяются на следующие:
- недостатки, связанные с неправильной настройкой параметров ПО.
П р и м е ч а н и е - Неправильная настройка параметров ПО заключается в отсутствии необходимого пара
метра, присвоении параметру неправильных значений, наличии избыточного числа параметров или неопределен
ных параметров ПО;
- недостатки, связанные с неполнотой проверки вводимых (входных) данных.
П р и м е ч а н и е - Недостаточность проверки вводимых (входных) данных заключается в отсутствии про
верки значений, избыточном количестве значений, неопределенности значений вводимых (входных) данных;
- недостатки, связанные с возможностью прослеживания пути доступа к каталогам.
П р и м е ч а н и е - Прослеживание пути доступа к каталогам заключается в отслеживании пути доступа к
каталогу (по адресной строке/ооставному имени) и получении доступа к предыдущему/корневому месту хранения
данных:
- недостатки, связанные с возможностью перехода по ссылкам;
П р и м е ч а н и е - Переход по ссылкам связан с возможностью внедрения нарушителем ссылки на сторон
ние ресурсы, которые могут содержать вредоносный код. Для файловых систем недостатками являются символь
ные ссылки и возможности прослеживания по ним нахождения ресурса, доступ к которому ограничен;
- недостатки, связанные с возможностью внедрения команд ОС:
П р и м е ч а н и е - Внедрение команд ОС заключается в возможности выполнения пользователем команд
операционной системы (например, просмотра структуры каталогов, копирование, удаление файлов и друтие ко
манды).
- недостатки, связанные с межсайтовым скриптингом (выполнением сценариев).
П р и м е ч а н и е - Межсайтовый скриптинг обычно распространен в веб-лриложениях и позволяет внедрять
код в веб-страницы, которые могут просматривать нелегитимные пользователи. Примерами такого кода являются
скрипты, выполняющиеся на стороне пользователя;
- недостатки, связанные с внедрением интерпретируемых операторов языков программирования
или разметки.
П р и м е ч а н и е - Недостатки связаны с внедрением интерпретируемых операторов языков программиро вания
(например, операции выбора, добавления, удаления и другие) или разметки в исходный код веб-приложения;
- недостатки, связанные с внедрением произвольного кода.
П р и м е ч а н и е - Недостатки связаны с внедрением произвольного кода и части кода, которые могут при
вести к нарушению процесса выполнения операций:
- недостатки, связанные с переполнением буфера памяти.
П р и м е ч а н и е - Переполнение буфера возникает в случае, когда ПО осуществляет запись данных за
пределами выделенного в памяти буфера. Переполнение буфера обычно возникает из-за неправильной работы с
данными, полученными извне, и памятью, при отсутствии защиты со стороны среды программирования и опе
рационной системы. В результате переполнения буфера могут быть испорчены данные, расположенные следом за
буфером или перед ним. Переполнение буфера может вызывать аварийное завершение или зависание ПО.
Отдельные виды переполнений буфера (например, переполнение в стековом кадре) позволяют нарушителю вы
полнить произвольный код от имени ПО и с правами учетной записи, от которой она выполняется:
3