Из ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем

ГОСТ Р 56546—2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем. Information protection. Vulnerabilities in information systems. The classification of vulnerabilities in information systems. УДК 004: 006.354 ОКС 35.020. Редакция от 11.12.2023.

5.2.(18) Недостатки, связанные с управлением ресурсами ГОСТ Р 56546-2015

Примечание — К недостаткам управления ресурсами относятся недостаточность мер освобождения выделенных участков памяти после использования, что приводит к сокращению свободных областей памяти, и отсутствие очистки ресурса и процессов от сведений ограниченного доступа перед повторным использованием и другие.

[из 5.2.(18) Недостатки, связанные с управлением ресурсами ГОСТ Р 56546—2015]

    5.2.(19) Иные типы недостатков ГОСТ Р 56546-2015

    • иные типы недостатков.

    Примечание — По результатам выявления уязвимостей ИС перечень типов недостатков может дополняться.

    [из 5.2.(19) Иные типы недостатков ГОСТ Р 56546—2015]

      5.2.(2) Недостатки, связанные с неполнотой проверки вводимых (входных) данных ГОСТ Р 56546-2015

      Примечание — Недостаточность проверки вводимых (входных) данных заключается в отсутствии проверки значений, избыточном количестве значений, неопределенности значений вводимых (входных) данных.

      [из 5.2.(2) Недостатки, связанные с неполнотой проверки вводимых (входных) данных ГОСТ Р 56546—2015]

        5.2.(3) Недостатки, связанные с возможностью прослеживания пути доступа к каталогам ГОСТ Р 56546-2015

        • недостатки, связанные с возможностью прослеживания пути доступа к каталогам.

        Примечание — Прослеживание пути доступа к каталогам заключается в отслеживании пути доступа к каталогу (по адресной строке/составному имени) и получении доступа к предыдущему/корневому месту хранения данных.

        [из 5.2.(3) Недостатки, связанные с возможностью прослеживания пути доступа к каталогам ГОСТ Р 56546—2015]

          5.2.(4) Недостатки, связанные с возможностью перехода по ссылкам ГОСТ Р 56546-2015

          • недостатки, связанные с возможностью перехода по ссылкам.

          Примечание — Переход по ссылкам связан с возможностью внедрения нарушителем ссылки на сторонние ресурсы, которые могут содержать вредоносный код. Для файловых систем недостатками являются символьные ссылки и возможности прослеживания по ним нахождения ресурса, доступ к которому ограничен.

          [из 5.2.(4) Недостатки, связанные с возможностью перехода по ссылкам ГОСТ Р 56546—2015]

            5.2.(5) Недостатки, связанные с возможностью внедрения команд ОС ГОСТ Р 56546-2015

            • недостатки, связанные с возможностью внедрения команд ОС.

            Примечание — Внедрение команд ОС заключается в возможности выполнения пользователем команд ОС (например, просмотра структуры каталогов, копирование, удаление файлов и другие команды).

            [из 5.2.(5) Недостатки, связанные с возможностью внедрения команд ОС ГОСТ Р 56546—2015]

              5.2.(6) Недостатки, связанные с межсайтовым скриптингом (выполнением сценариев) ГОСТ Р 56546-2015

              • недостатки, связанные с межсайтовым скриптингом (выполнением сценариев).

              Примечание — Межсайтовый скриптинг обычно распространен в веб–приложениях и позволяет внедрять код в веб–страницы, которые могут просматривать нелегитимные пользователи. Примерами такого кода являются скрипты, выполняющиеся на стороне пользователя.

              [из 5.2.(6) Недостатки, связанные с межсайтовым скриптингом (выполнением сценариев) ГОСТ Р 56546—2015]

                5.2.(7) Недостатки, связанные с внедрением интерпретируемых операторов языков программирования или разметки ГОСТ Р 56546-2015

                Примечание — Недостатки связаны с внедрением интерпретируемых операторов языков программирования (например, операции выбора, добавления, удаления и другие) или разметки в исходный код веб–приложения.

                [из 5.2.(7) Недостатки, связанные с внедрением интерпретируемых операторов языков программирования или разметки ГОСТ Р 56546—2015]

                  5.2.(8) Недостатки, связанные с внедрением произвольного кода ГОСТ Р 56546-2015

                  • недостатки, связанные с внедрением произвольного кода.

                  Примечание — Недостатки связаны с внедрением произвольного кода и части кода, которые могут приводить к нарушению процесса выполнения операций.

                  [из 5.2.(8) Недостатки, связанные с внедрением произвольного кода ГОСТ Р 56546—2015]

                    5.2.(9) Недостатки, связанные с переполнением буфера памяти ГОСТ Р 56546-2015

                    Примечание — Переполнение буфера возникает в случае, когда ПО осуществляет запись данных за пределами выделенного в памяти буфера. Переполнение буфера обычно возникает из–за неправильной работы с данными, полученными извне, и памятью, при отсутствии защиты со стороны среды программирования и ОС. В результате переполнения буфера могут быть испорчены данные, расположенные следом за буфером или перед ним. Переполнение буфера может вызывать аварийное завершение или зависание ПО. Отдельные виды переполнений буфера (например, переполнение в стековом кадре) позволяют нарушителю выполнить произвольный код от имени ПО и с правами учетной записи, от которой она выполняется.

                    [из 5.2.(9) Недостатки, связанные с переполнением буфера памяти ГОСТ Р 56546—2015]

                      Страницы

                      Подписка на Из ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем