Названы самые уязвимые языки программирования


OPSWATИсследовательская компания Veracode опубликовала отчет, в котором говорится, что код в скриптовых языках является источником значительного количества уязвимостей в web-приложениях. Отчет основан на результатах анализа более 200 тыс. приложений на распространенных языках программирования:

  • PHP, Java, Microsoft Classic ASP, .NET, iOS, Android, C и C++, JavaScript, ColdFusion, Ruby и COBOL.


Самыми уязвимыми оказались приложения на языках:

  • PHP;
  • Classic ASP;
  • ColdFusion,

а самыми безопасными на:

  • Java;
  • .NET.


В ходе анализа специалистами использовалась метрическая система, измеряющая количество брешей на 1 МБ кода. По итогам исследования был составлен следующий рейтинг:

  • Classic ASP – 1 686,6 брешей/МБ (1 112 критических)
  • ColdFusion – 262,8 брешей/МБ (227 критических)
  • PHP – 184 брешей/МБ (47 критических)
  • Java – 51,8 брешей/МБ (5,2 критических)
  • .NET – 32,5 брешей/МБ (9,7 критических)
  • C++ – 26,7 брешей/МБ (8,8 критических)
  • iOS – 23,4 брешей/МБ (0,9 критических)
  • Android – 11,3 брешей/МБ (0,4 критических)
  • JavaScript – 8,1 брешей/МБ (0,09 критических)


Также, согласно отчету, не прошли проверку OWASP Top 10 приложения на:

  • ColdFusion - 83%;
  • PHP - 81%;
  • Classic ASP - 79%.

OWASP Top 10 Uyazvimih yazikov programmirovaniya

При этом:

  • приложений на PHP, содержащих, по меньшей мере, одну XSS-брешь - 86%;
  • программ, уязвимых к внедрению SQL-кода - 56%;
  • приложений, позволяющих осуществить атаку типа обратный путь в директориях - 67%;
  • приложений, позволяющих осуществить внедрение кода - 61%;


В числе других проблем:

  • некорректный процесс обработки учетных данных - 58%;
  • уязвимости в криптографическом протоколе - 73%;
  • бреши, позволяющие утечку данных - 50%.


По мнению экспертов, такое положение вещей значительно влияет на общую ситуацию в интернете, поскольку порядка 70% систем по управлению контентом работают на базе WordPress, Drupal и Joomla.

Open Web Application Security Project (OWASP) - открытый проект обеспечения безопасности web-приложений. Данное сообщество включает в себя корпорации, образовательные организации и частных лиц со всего мира. Участники проекта уже десять лет составляют список Топ-10 самых опасных уязвимостей в web-приложениях, стараясь привлечь внимание всех web-разработчиков.


Обновлено (04.12.2015 22:02)