这十大编程语言在互联网上拥有最易受攻击的应用程序
相关标签: # 研究# 数据# 软件# 扫描# 缺陷
应用安全公司Veracode发布了软件安全状况:关注应用程序开发报告(PDF),分析了从2013年10月1日到2015年3月31日的20多万份独立申请。
安全研究人员对流行的网络脚本语言进行了爬网,包括PHP、Java、JavaScript、Ruby、。NET,C和C++,微软经典ASP,Android,iOS和COBOL,扫描过去18个月的数十万应用。
研究人员发现PHP– 以及不那么流行的Web开发语言经典ASP和冷饮– 是互联网上最危险的编程语言JAVA和网是最安全的。
以下是前十名:
Veracode研究报告使用了一个独特的指标,每MB缺陷密度,这意味着每MB源代码中的安全漏洞数量。
以下是不幸获胜者的名单:
- 经典ASP–;1686缺陷/MB(1112严重)
- ColdFusion–;262个缺陷/MB(227个严重)
- PHP–;184个缺陷/MB(47个严重)
- 爪哇–;51缺陷/MB(5.2严重)
- .NET-32个缺陷/MB(9.7严重)
- C++与8211;26缺陷/MB(8.8严重)
- iOS–;23个缺陷/MB(0.9严重)
- 安卓–;11个缺陷/MB(0.4严重)
- JavaScript-8个缺陷/MB(0.09严重)
PHP中的Web应用最容易受到攻击,原因如下:
PHP排在第三位的ColdFusion实际上是领先的,因为ColdFusion是一个高端的利基工具,而经典的ASP几乎已经死亡。
仔细看看PHP:
- 用PHP编写的应用程序中有86%至少包含一个跨站点脚本(XSS)漏洞。
- 56%的应用程序包括SQLi(SQL注入),这是一种危险且易于利用的web应用程序漏洞。
- 67%的应用程序允许目录遍历。
- 61%的应用程序允许代码注入。
- 58%的应用程序存在凭据管理问题
- 73%的应用程序包含密码问题。
- 允许50%的信息泄漏。
从以上问题来看,SQLi和XSS属于开放式Web应用程序安全项目的核心(OWASP)十大最关键的web应用程序安全风险。
SQL注入错误– 允许黑客直接与网站数据库互动–;是儿童玩具制造商VTech和电信公司TalkTalk的大规模数据泄露事件的罪魁祸首。
根据该报告,上述漏洞的风险大小可以通过为前三大CMS(内容管理系统)和#8211;WordPress,猪跑和逐浪– 占CMS市场的70%以上。
明智地选择脚本语言
不到四分之一的Java应用程序包含SQL注入缺陷,而超过四分之三的应用程序是用PHP编写的。
“当组织开始新的开发项目并选择语言和方法时,安全团队有机会预测可能出现的漏洞类型,以及如何最好地测试它们。”Veracode的首席技术官Chris Wysopal建议。
有关更多详细信息,请下载Vercode的软件安全状态报告(PDF)。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
