5.2 Уязвимости ИС по типам недостатков ИС подразделяются на следующие:
- недостатки, связанные с неправильной настройкой параметров ПО.
Примечание — Неправильная настройка параметров ПО заключается в отсутствии необходимого параметра, присвоении параметру неправильных значений, наличии избыточного числа параметров или неопределенных параметров ПО.
[из 5.2.(1) Недостатки, связанные с неправильной настройкой параметров ПО ГОСТ Р 56546—2015]
- недостатки, связанные с неполнотой проверки вводимых (входных) данных.
Примечание — Недостаточность проверки вводимых (входных) данных заключается в отсутствии проверки значений, избыточном количестве значений, неопределенности значений вводимых (входных) данных.
[из 5.2.(2) Недостатки, связанные с неполнотой проверки вводимых (входных) данных ГОСТ Р 56546—2015]
- недостатки, связанные с возможностью прослеживания пути доступа к каталогам.
Примечание — Прослеживание пути доступа к каталогам заключается в отслеживании пути доступа к каталогу (по адресной строке/составному имени) и получении доступа к предыдущему/корневому месту хранения данных.
[из 5.2.(3) Недостатки, связанные с возможностью прослеживания пути доступа к каталогам ГОСТ Р 56546—2015]
- недостатки, связанные с возможностью перехода по ссылкам.
Примечание — Переход по ссылкам связан с возможностью внедрения нарушителем ссылки на сторонние ресурсы, которые могут содержать вредоносный код. Для файловых систем недостатками являются символьные ссылки и возможности прослеживания по ним нахождения ресурса, доступ к которому ограничен.
[из 5.2.(4) Недостатки, связанные с возможностью перехода по ссылкам ГОСТ Р 56546—2015]
- недостатки, связанные с возможностью внедрения команд ОС.
Примечание — Внедрение команд ОС заключается в возможности выполнения пользователем команд ОС (например, просмотра структуры каталогов, копирование, удаление файлов и другие команды).
[из 5.2.(5) Недостатки, связанные с возможностью внедрения команд ОС ГОСТ Р 56546—2015]
- недостатки, связанные с межсайтовым скриптингом (выполнением сценариев).
Примечание — Межсайтовый скриптинг обычно распространен в веб–приложениях и позволяет внедрять код в веб–страницы, которые могут просматривать нелегитимные пользователи. Примерами такого кода являются скрипты, выполняющиеся на стороне пользователя.
[из 5.2.(6) Недостатки, связанные с межсайтовым скриптингом (выполнением сценариев) ГОСТ Р 56546—2015]
- недостатки, связанные с внедрением интерпретируемых операторов языков программирования или разметки.
Примечание — Недостатки связаны с внедрением интерпретируемых операторов языков программирования (например, операции выбора, добавления, удаления и другие) или разметки в исходный код веб–приложения.
[из 5.2.(7) Недостатки, связанные с внедрением интерпретируемых операторов языков программирования или разметки ГОСТ Р 56546—2015]
- недостатки, связанные с внедрением произвольного кода.
Примечание — Недостатки связаны с внедрением произвольного кода и части кода, которые могут приводить к нарушению процесса выполнения операций.
[из 5.2.(8) Недостатки, связанные с внедрением произвольного кода ГОСТ Р 56546—2015]
Примечание — Переполнение буфера возникает в случае, когда ПО осуществляет запись данных за пределами выделенного в памяти буфера. Переполнение буфера обычно возникает из–за неправильной работы с данными, полученными извне, и памятью, при отсутствии защиты со стороны среды программирования и ОС. В результате переполнения буфера могут быть испорчены данные, расположенные следом за буфером или перед ним. Переполнение буфера может вызывать аварийное завершение или зависание ПО. Отдельные виды переполнений буфера (например, переполнение в стековом кадре) позволяют нарушителю выполнить произвольный код от имени ПО и с правами учетной записи, от которой она выполняется.
[из 5.2.(9) Недостатки, связанные с переполнением буфера памяти ГОСТ Р 56546—2015]
- недостатки, связанные с неконтролируемой форматной строкой.
Примечание — Форматная строка в языках C/C++ является специальным аргументом функции с динамически изменяемым числом параметров. Ее значение в момент вызова функции определяет фактическое количество и типы параметров функции. Ошибки форматной строки потенциально позволяют нарушителю динамически изменять путь исполнения программы, в ряде случаев — внедрять произвольный код.
[из 5.2.(10) Недостатки, связанные с неконтролируемой форматной строкой ГОСТ Р 56546—2015]
- недостатки, связанные с вычислениями.
Примечание — К недостаткам, связанным с вычислениями, относятся следующие:
- некорректный диапазон, когда ПО использует неверное максимальное или минимальное значение, которое отличается от верного на единицу в большую или меньшую сторону;
- ошибка числа со знаком, когда нарушитель может вводить данные, содержащие отрицательное целое число, которые программа преобразует в положительное нецелое число;
- ошибка усечения числа, когда часть числа отсекается (например, вследствие явного или неявного преобразования или иных переходов между типами чисел);
- ошибка индикации порядка байтов в числах, когда в ПО смешивается порядок обработки битов (например, обратный и прямой порядок битов), что приводит к неверному числу в содержимом, имеющем критическое значение для безопасности;
- недостатки, приводящие к утечке/раскрытию информации ограниченного доступа.
Примечание — Утечка информации — преднамеренное или неумышленное разглашение информации ограниченного доступа (например, существуют утечки информации при генерировании ПО сообщения об ошибке, которое содержит сведения ограниченного доступа). Недостатки, приводящие к утечке/раскрытию информации ограниченного доступа, могут возникать вследствие наличия иных ошибок (например, ошибок, связанных с использованием скриптов).
[из 5.2.(11) Недостатки, связанные с вычислениями ГОСТ Р 56546—2015]
- недостатки, связанные с управлением полномочиями (учетными данными).
Примечание — К недостаткам, связанным с управлением полномочиями (учетными данными) относятся, например, нарушение политики разграничения доступа, отсутствие необходимых ролей пользователей, ошибки при удалении ненужных учетных данных и другие.
[из 5.2.(12) Недостатки, связанные с управлением полномочиями (учетными данными) ГОСТ Р 56546—2015]
- недостатки, связанные с управлением разрешениями, привилегиями и доступом.
Примечание — К недостаткам, связанным с управлением разрешениями, привилегиями и доступом, относятся, например, превышение привилегий и полномочий, необоснованное наличие суперпользователей в системе, нарушение политики разграничения доступа и другие.
[из 5.2.(13) Недостатки, связанные с управлением разрешениями, привилегиями и доступом ГОСТ Р 56546—2015]
- недостатки, связанные с аутентификацией.
Примечание — К недостаткам, связанным с аутентификацией, относятся возможность обхода аутентификации, ошибки логики процесса аутентификации, отсутствие запрета множественных неудачных попыток аутентификации, отсутствие требования аутентификации для выполнения критичных функций.
[из 5.2.(14) Недостатки, связанные с аутентификацией ГОСТ Р 56546—2015]
- недостатки, связанные с криптографическими преобразованиями (недостатки шифрования).
Примечание — К недостаткам, связанным с криптографическими преобразованиями, относятся ошибки хранения информации в незашифрованном виде, ошибки при управлении ключами, использование несертифицированных средств криптографической защиты информации.
[из 5.2.(15) Недостатки, связанные с криптографическими преобразованиями (недостатки шифрования) ГОСТ Р 56546—2015]
- недостатки, связанные с подменой межсайтовых запросов.
Примечание — Подмена межсайтового запроса заключается в том, что используемое ПО не осуществляет или не может осуществить проверку правильности формирования запроса.
из 5.2.(16) Недостатки, связанные с подменой межсайтовых запросов ГОСТ Р 56546—2015]
- недостатки, приводящие к «состоянию гонки».
Примечание — «Состояние гонки» — ошибка проектирования многопоточной системы или приложения, при которой функционирование системы или приложения зависит от порядка выполнения части кода. «Состояние гонки» является специфической ошибкой, проявляющейся в случайные моменты времени.
[из 5.2.(17) Недостатки, приводящие к «состоянию гонки» ГОСТ Р 56546—2015]
- недостатки, связанные с управлением ресурсами.
Примечание — К недостаткам управления ресурсами относятся недостаточность мер освобождения выделенных участков памяти после использования, что приводит к сокращению свободных областей памяти, и отсутствие очистки ресурса и процессов от сведений ограниченного доступа перед повторным использованием и другие.
[из 5.2.(18) Недостатки, связанные с управлением ресурсами ГОСТ Р 56546—2015]
- иные типы недостатков.
Примечание — По результатам выявления уязвимостей ИС перечень типов недостатков может дополняться.
[из 5.2.(19) Иные типы недостатков ГОСТ Р 56546—2015]