据国外最新的调查研究显示,脚本语言虽然应用面很广,但也带来了为数不少的Web应用潜在的安全漏洞,给数以百万计的网站增加了安全隐患。
据
应用安全公司Veracode近日公布的一项报告‘国家软件安全报告:关注应用开发(State of Software Security:
Focus on Application Development
)’称,该公司自2013年10月1日起至2015年3月31日分析研究了超过20万款应用程序。
该公司安全研究人员分析的网络流行脚本语言包括:PHP,Java,JavaScript,Ruby,NET,C,C++,Microsoft Classic ASP,Android,iOS,以及COBOL,他们在18个月内分析了这几种语言的二十万应用程序。
研究人员发现PHP——以及不那么受欢迎的经典网络开发语言ASP 和ColdFusion——为最危险的网络编程语言,而Java与.NET是最安全的两大语言。
以下是前十名列表:
Veracode研究报告使用了一个独特的度量单位:漏洞密度/MB,意味着在源代码中每MB数据中所含的安全漏洞数量。
下面列出来的是那些不太幸运的获胜者:
Classic ASP1,686 漏洞/MB (1,112致命漏洞)
ColdFusion262 漏洞/MB (227 致命漏洞)
PHP184 漏洞/MB (47 致命漏洞)
Java51 漏洞/MB (5.2 致命漏洞)
NET32 漏洞/MB (9.7 致命漏洞)
C++26 漏洞/MB (8.8 致命漏洞)
iOS23 漏洞/MB (0.9 致命漏洞)
Android11 漏洞/MB (0.4 致命漏洞)
JavaScript8 漏洞/MB (0.09 致命漏洞)
网络应用中PHP被认为是最危险的编程语言,因为:
PHP虽位列第三,但实际上应当被认为是最易出现漏洞的语言,因为ColdFusion 是一个高端的小众工具,而经典的ASP几乎已经没有什么人使用了。
让我们仔细分析一下,对于PHP来说:
86% 的PHP应用程序至少包含一个跨站脚本(XSS)漏洞;
56% 的app中包含SQLi(SQL注入),著名的也是非常危险且易被利用的web应用漏洞之一;
67% 的app允许目录遍历;
61% 的app允许代码注入;
58% 的app在凭证管理方面有问题;
73% 的app存在加密问题;
50% 的app允许信息泄露。
在上面的问题中,SQLi与XSS是OWASP前十的最危险网络应用程序安全漏洞。
SQL注入漏洞——允许黑客与网站数据库直接交互——也是之前著名的儿童玩具厂商VTech 与英国最大的电信公司TalkTalk大量数据泄露的罪魁祸首。
据报道,上述的漏洞的风险大小也可以根据PHP应用开发的Top 3 CMS (内容管理系统)来测量– WordPress, Drupal 以及Joomla – 代表了超过70%的CMS市场。
谨慎选择脚本语言
少于四分之一的Java app中存在SQL注入漏洞,而剩下的超过四分之三的含SQL注入漏洞的应用都是以PHP编写的。
“当企业进行一项新的项目开发与选择语言和方法论的时候,安全小组有机会预测各种类型漏洞的发生几率以及如何测试它们并最终选择一个对于他们来说最适合的语言。”Veracode的首席技术官Chris Wysopal建议。
[本文翻译自Softpedia,转载请注明来自威客安全(secwk.com)]
网友评论