Quali sarebbero le buone risorse per condurre l'analisi dell'impatto tecnico?

1

Come continua ricerca in Secure Software Development, ho trovato l'OWASP Top 10 nella lista dei progetti Impatto tecnico come:

link

Allo stesso modo, l'elenco CAPEC ha un impatto in termini di CIA: link

Per ulteriori dettagli sugli impatti tecnici delle varie minacce, ci sono risorse che offrono analisi dettagliate inclusi possibili studi di casi?

    
posta Epoch Win 05.03.2012 - 16:36
fonte

1 risposta

1

Questa domanda è troppo ampia, poiché la risposta dipenderà dalla particolare vulnerabilità / attacco. Praticamente qualsiasi descrizione di una vulnerabilità o di un attacco descriverà il suo potenziale impatto (= impatto tecnico, nella terminologia OWASP). Quindi, se c'è una particolare vulnerabilità che vuoi sapere, dovresti essere in grado di leggere qualsiasi primer su quella vulnerabilità e saperne di più sull'impatto (tecnico) della vulnerabilità.

Ad esempio, le vulnerabilità di overflow del buffer consentono l'iniezione di codice, quindi consentire all'utente malintenzionato di immettere codice dannoso nel programma vulnerabile ed eseguirlo con tutti i privilegi del programma. Le vulnerabilità di SQL injection consentono all'aggressore di eseguire query SQL arbitrarie (e quindi di leggere o scrivere sul database) e possibilmente, a seconda di come è configurato il database, di eseguire codice dannoso con tutti i privilegi del programma di database. E così via.

    
risposta data 05.03.2012 - 19:43
fonte

Leggi altre domande sui tag