почему разработчики оставляют пароли в коде?

Согласно новому анализу Dogesec, на протяжении последних лет разработчики продолжают допускать ошибки в безопасности, включая хранение паролей прямо в исходном коде, что ставит под угрозу безопасность ПО. С октября 2023 по сентябрь 2024 года было выявлено 37 439 уязвимостей, из которых 35 346 получили специальные коды CWE, что охватывает 520 уникальных типов ошибок.

Самой распространенной уязвимостью стала CWE-79 – XSS (межсайтовый скриптинг), на долю которой пришлось 6006 случаев — около 17% от всех зарегистрированных.

Уязвимости типа SQL-инъекции (CWE-89) является основополагающим для веб-безопасности и регулярно упоминается в рекомендациях по разработке безопасного кода, включая OWASP.

Другие часто встречающиеся слабости включают CWE-352 (Cross-Site Request Forgery, CSRF), CWE-787 (Out-of-bounds Write, запись за пределы буфера), CWE-862 (Missing Authorization, отсутствие авторизации) и CWE-22 (Path Traversal, обход ограничения пути).

Среди базовых ошибок:

• 
  CWE-532 (включение чувствительных данных в журналы — 247 случаев),
• CWE-798 (использование встроенных в код паролей — 213 случаев)
• CWE-306 (отсутствие аутентификации для критически важной функции — 208 случаев).

Данные уязвимости в основном затрагивают как крупных, так и мелких производителей, включая Cisco и IBM, а также оборудование, прошивки которого сложнее обновлять для устранения подобных проблем.

Данные показывают, что устранение уязвимостей XSS и SQL-инъекции по-прежнему остаётся важной задачей. Разработчики должны уделять внимание предотвращению хранения чувствительных данных в коде, а производители прошивок — внедрению более надежных механизмов защиты в свои продукты