Veracode назвала самые уязвимые языки программирования

image

Теги: уязвимость, язык программирования, исследование

В тройку лидеров вошли PHP, Classic ASP и ColdFusion.

Как показало новое исследование, опубликованное специалистами Veracode, код в скриптовых языках является источником значительного количества уязвимостей в web-приложениях. Отчет основан на результатах анализа более 200 тыс. приложений на распространенных языках программирования - PHP, Java, Microsoft Classic ASP, .NET, iOS, Android, C и C++, JavaScript, ColdFusion, Ruby и COBOL. Самыми уязвимыми оказались приложения на языках PHP, Classic ASP и ColdFusion, а самыми безопасными - на Java и .NET.

В ходе анализа специалисты использовали метрическую систему, измеряющую количество брешей на 1 МБ кода. По итогам исследования был составлен следующий рейтинг:

  • Classic ASP – 1 686,6 брешей/МБ (1 112 критических)

  • ColdFusion – 262,8 брешей/МБ (227 критических)

  • PHP – 184 брешей/МБ (47 критических)

  • Java – 51,8 брешей/МБ (5,2 критических)

  • .NET – 32,5 брешей/МБ (9,7 критических)

  • C++ – 26,7 брешей/МБ (8,8 критических)

  • iOS – 23,4 брешей/МБ (0,9 критических)

  • Android – 11,3 брешей/МБ (0,4 критических)

  • JavaScript – 8,1 брешей/МБ (0,09 критических)

Согласно отчету, 83% приложений на ColdFusion, 81% приложений на PHP и 79% на Classic ASP не прошли проверку OWASP Top 10.

12322.png

По данным Veracode, 86% приложений на PHP содержали по меньшей мере одну XSS-брешь. 56% программ оказались уязвимы к внедрению SQL-кода. Также приложения позволяли осуществить атаку типа обратный путь в директориях (67%) и внедрение кода (61%). В числе других проблем: некорректный процесс обработки учетных данных (58%), уязвимости в криптографическом протоколе (73%) и бреши, позволяющие утечку данных (50%).

Такое положение вещей значительно влияет на общую ситуацию в интернете, поскольку порядка 70% систем по управлению контентом работают на базе WordPress, Drupal и Joomla, подчеркивают эксперты.

Open Web Application Security Project (OWASP) - открытый проект обеспечения безопасности web-приложений. Сообщество OWASP включает в себя корпорации, образовательные организации и частных лиц со всего мира. Участники проекта уже десять лет составляют список Топ-10 самых опасных уязвимостей в web-приложениях, стараясь привлечь внимание всех web-разработчиков.


comments powered by Disqus