|
据国外最新的调查研究显示,脚本语言虽然应用面很广,但也带来了为数不少的Web应用潜在的安全漏洞,给数以百万计的网站增加了安全隐患。 据应用安全公司Veracode近日公布的一项报告‘国家软件安全报告:关注应用开发(State of Software Security: Focus on Application Development )’称,该公司自2013年10月1日起至2015年3月31日分析研究了超过20万款应用程序。 该公司安全研究人员分析的网络流行脚本语言包括:PHP,Java,JavaScript,Ruby,NET,C,C++,Microsoft Classic ASP,Android,iOS,以及COBOL,他们在18个月内分析了这几种语言的二十万应用程序。 研究人员发现PHP——以及不那么受欢迎的经典网络开发语言ASP 和ColdFusion——为最危险的网络编程语言,而Java与.NET是最安全的两大语言。 以下是前十名列表: Veracode研究报告使用了一个独特的度量单位:漏洞密度/MB,意味着在源代码中每MB数据中所含的安全漏洞数量。 下面列出来的是那些不太幸运的获胜者:
网络应用中PHP被认为是最危险的编程语言,因为: PHP虽位列第三,但实际上应当被认为是最易出现漏洞的语言,因为ColdFusion 是一个高端的小众工具,而经典的ASP几乎已经没有什么人使用了。 让我们仔细分析一下,对于PHP来说: 86% 的PHP应用程序至少包含一个跨站脚本(XSS)漏洞; 56% 的app中包含SQLi(SQL注入),著名的也是非常危险且易被利用的web应用漏洞之一; 67% 的app允许目录遍历; 61% 的app允许代码注入; 58% 的app在凭证管理方面有问题; 73% 的app存在加密问题; 50% 的app允许信息泄露。 在上面的问题中,SQLi与XSS是OWASP前十的最危险网络应用程序安全漏洞。 SQL注入漏洞——允许黑客与网站数据库直接交互——也是之前著名的儿童玩具厂商VTech 与英国最大的电信公司TalkTalk大量数据泄露的罪魁祸首。 据报道,上述的漏洞的风险大小也可以根据PHP应用开发的Top 3 CMS (内容管理系统)来测量– WordPress, Drupal 以及Joomla – 代表了超过70%的CMS市场。 谨慎选择脚本语言 少于四分之一的Java app中存在SQL注入漏洞,而剩下的超过四分之三的含SQL注入漏洞的应用都是以PHP编写的。
[本文翻译自Softpedia,转载请注明来自威客安全(secwk.com)] |
|
|
来自: richard_168 > 《待分类》
