Czym jest podatność bezpieczeństwa?

Ten wpis jest częścią cyklu “Od zera do bughuntera” – listę wszystkich postów znajdziesz tutaj.

Nietypowy, krótki post (w przygotowaniu mam długi tekst i jestem mniej, więcej połowie) w formie share’a z moim zdaniem najlepszego kanału o bezpieczeństwie IT na YouTube – tak chodzi oczywiście o LiveOverflow 🙂

W nieco ponad piętnastominutowym nagraniu autor opowiada na pytanie, z którym również często się spotykam: gdzie leży granica pomiędzy błędem a podatnością i czyni to na fajnych przykładach. Zapraszam do zapoznania się z materiałem.

2 thoughts on “Czym jest podatność bezpieczeństwa?

  1. “gdzie leży granica pomiędzy błędem a podatnością” – jak to gdzie ? Podatności mają negatywne oddziaływanie na którykolwiek z atrybutów bezpieczeństwa (dostępność, integralność, poufność [,autentyczność]) lol i na tym definicje się chyba kończą bo reszta jest dość płynna. Rozważmy przykład “niekontrolowany wyciek informacji o przybliżonej ilości klientów portalu online w okresie czasu” – podatność czy błąd ?
    Zależy oczywiście od kontekstu w jakim znajduje się organizacja której błąd dotyczy. Może zarząd stwierdzi że to bardzo dobrze bo firma ma dużo klientów, a może firma będzie w momencie w którym chce sprzedać portal online bo interes idzie kiepsko i w żadnym wypadku takie informacje nie powinny być dostępne dla każdego.
    Błąd oczywiście znajduje się w określeniu “niekontrolowany” czy przekłada się on na podatność to już inna sprawa która ociera się chyba nawet trochę o szacowanie ryzyka lol.
    Kolejny dobry przykład NULL pointer dereference – w aplikacjach klienckich (office, browser) to nie jest podatność, ten sam rodzaj błędu w aplikacjach serwerowych (eg. Apache) to poważny problem.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.