應用軟體安全
對於內部自行開發的或採購進來的軟體,都需要進行安全生命週期的管理,以防止;偵測和改正資訊安全漏洞。
為什麼這是關鍵控制項目?
攻擊通常利用基於Web和其他應用程式軟體中的漏洞。漏洞可能存在多種原因,包括編碼錯誤;邏輯錯誤;不完整的需求以及未能測試異常或意外情況。特定錯誤的案例包括:未能檢查用戶輸入的大小;未能從輸入流中過濾掉不需要但可能有惡意的字串序列;無法初始化和清除變量;以及糟糕的記憶體管理允許軟體的一部分的缺陷影響不相關(和更安全關鍵)的部分。
有大量關於此類漏洞的公共和私人訊息可供攻擊者和防禦者使用,以及一個強大的工具和技術市場可以將漏洞“武器化”漏洞來利用。攻擊者可以注入特定的攻擊,包括緩衝區溢出;結構化查詢語言(SQL)注入攻擊;跨站點腳本;跨站點請求偽造以及代碼點擊等以控制易受攻擊的設備。在一次攻擊中超過100萬個Web伺服主機被利用,並成為使用SQL injection感染引擎感染存取這些網的站使用者。在該攻擊期間受到攻擊者攻擊的州政府和其他組織的可信任網站被用於感染存取這些網站的數十萬個瀏覽器。更多Web和非Web應用程式漏洞被定期發現。