Hackathon Press
Громадянська журналістика

Названі найбільш вразливі мови програмування

06.12.2015 04:56 PM

Дослідницька компанія Veracode опублікувала звіт, в якому говориться, що код в скриптових мовах є джерелом значної кількості вразливостей в web-додатках. Звіт ґрунтується на результатах аналізу більше 200 тис. Додатків на поширених мовах програмування:

PHP, Java, Microsoft Classic ASP, .NET, iOS, Android, C і C ++, JavaScript, ColdFusion, Ruby і COBOL.

Найбільш уразливими виявилися додатки на мовах:

  • PHP;
  • Classic ASP;
  • ColdFusion,
    а найбезпечнішими на:
  • Java;
  • .NET.

У ході аналізу фахівцями використовувалася метрична система, измеряющая кількість проломів на 1 МБ коду. За підсумками дослідження був складений наступний рейтинг:

  • Classic ASP – 1 686,6 проломів / МБ (1112 критичних)
  • ColdFusion – 262,8 проломів / МБ (227 критичних)
  • PHP – 184 проломів / МБ (47 критичних)
  • Java – 51,8 проломів / МБ (5,2 критичних)
  • .NET – 32,5 проломів / МБ (9,7 критичних)
  • C ++ – 26,7 проломів / МБ (8,8 критичних)
  • iOS – 23,4 проломів / МБ (0,9 критичних)
  • Android – 11,3 проломів / МБ (0,4 критичних)
  • JavaScript – 8,1 проломів / МБ (0,09 критичних)

Також, згідно зі звітом, не пройшли перевірку OWASP Top 10 додатка на:

  • ColdFusion – 83%;
  • PHP – 81%;
  • Classic ASP – 79%.

При цьому:

  • додатків на PHP, що містять, щонайменше, одну XSS-пролом – 86%;
  • програм, уразливих до впровадження SQL-коду – 56%;
  • додатків, що дозволяють здійснити атаку типу зворотний шлях в директоріях – 67%;
  • додатків, що дозволяють здійснити впровадження коду – 61%;

У числі інших проблем:

  • некоректний процес обробки облікових даних – 58%;
  • уразливості в криптографическом протоколі – 73%;
  • проломи, що дозволяють витік даних – 50%.

На думку експертів, такий стан речей значно впливає на загальну ситуацію в інтернеті, оскільки близько 70% систем з управління контентом працюють на базі WordPress, Drupal та Joomla.

Open Web Application Security Project (OWASP) – відкритий проект забезпечення безпеки web-додатків. Дане співтовариство включає в себе корпорації, освітні організації та приватних осіб з усього світу. Учасники проекту вже десять років складають список Топ-10 найбільш небезпечних вразливостей в web-додатках, намагаючись привернути увагу всіх web-розробників.

by

Leave a Reply

Вгору