ГОСТ Р 56546-2015
- недостатки, связанные с неконтролируемой форматной строкой.
П р и м е ч а н и е - Форматная строка в языках C/C++ является специальным аргументом функции с дина
мически изменяемым числом параметров. Ее значение в момент вызова функции определяетфактическое количе
ство и типы параметров функции. Ошибки форматной строки потенциально позволяют нарушителю динамически
изменять путь исполнения программы, в ряде случаев - внедрять произвольный код;
- недостатки, связанные с вычислениями.
П р и м е ч а н и е - К недостаткам, связанным с вычислениями относятся следующие;
некорректный диапазон, когда ПО использует неверное максимальное или минимальное значение, которое
отличается от верного на единицу в большую или меньшую сторону;
ошибка числа со знаком, когда нарушитель может ввести данные, содержащие отрицательное целое число,
которые программа преобразует в положительное нецелое число;
ошибка усечения числа, когда часть числа отсекается (например, вследствие явного или неявного преобра
зования или иных переходов между типами чисел);
ошибка индикации порядка байтов в числах, когда в ПО смешивается порядок обработки битов (например,
обратный и прямой порядок битов), что приводит к неверному числу в содержимом, имеющем критическое значе ние
для безопасности;
- недостатки, приводящие к утечке/раскрытию информации ограниченного доступа.
П р и м е ч а н и е - Утечка информации - преднамеренное или неумышленное разглашение информации
ограниченного доступа (например, существует утечки информации при генерировании ПО сообщения об ошибке,
которое содержит сведения ограниченного доступа). Недостатки, приводящие к утечке/раскрытию информации
ограниченного доступа, могут быть образованы вследствие наличия иных ошибок (например, ошибок, связанных с
использованием скриптов);
- недостатки, связанные с управлением полномочиями (учетными данными).
П р и м е ч а н и е - К недостаткам, связанным с управлением полномочиями (учетными данными) относятся,
например, нарушение политики разграничения доступа, отсутствие необходимых ролей пользователей, ошибки
при удалении ненужных учетных данных идругие;
- недостатки, связанные с управлением разрешениями, привилегиями и доступом.
П р и м е ч а н и е - К недостаткам, связанным с управлением разрешениями, привилегиями и доступом от
носятся. например, превышение привилегий и полномочий, необоснованному наличию суперпользователей в си
стеме. нарушение политики разграничения доступа и другие;
- недостатки, связанные с аутентификацией.
П р и м е ч а н и е - К недостаткам, связанным с аутентификацией относятся; возможность обхода аутенти
фикации. ошибки логики процесса аутентификации, отсутствие запрета множественных неудачных попыток аутен
тификации, отсутствие требования аутентификации для выполнения критичных функций;
- недостатки, связанные с криптографическими преобразованиями (недостатки шифрования).
П р и м е ч а н и е - К недостаткам, связанным с криптографическими преобразованиями относятся ошибки
хранения информации в незашифрованном виде, ошибки при управлении ключами, использование несертифици-
рованных средств криптографической защиты информации;
- недостатки, связанные с подменой межсайтовых запросов.
П р и м е ч а н и е - Подмена межсайтового запроса заключается в том. что используемое ПО не осущест
вляет или не может осуществить проверку правильности формирования запроса:
- недостатки, приводящие к «состоянию гонки».
П р и м е ч а н и е - «Состояние гонки» - ошибка проектирования многопоточной системы или приложения,
при которой функционирование системы или приложения зависит от порядка выполнения части кода. «Состояние
гонки» является специфической ошибкой, проявляющейся в случайные моменты времени:
- недостатки, связанные с управлением ресурсами.
П р и м е ч а н и е - К недостаткам управления ресурсами относятся: недостаточность мер освобождения
выделенных участков памяти после использования, что приводит к сокращению свободных областей памяти, от
сутствие очистки ресурса и процессов от сведений ограниченного доступа перед повторным использованием и
другие:
4