Согласно результатам нового исследования специалистов Veracode, код в скриптовых языках является источником значительного количества уязвимостей в web-приложениях. Отчет основан на результатах анализа более 200 тыс. приложений на распространенных языках программирования - PHP, Java, Microsoft Classic ASP, .NET, iOS, Android, C и C++, JavaScript, ColdFusion, Ruby и COBOL.

В ходе анализа специалисты использовали метрическую систему, измеряющую количество брешей на 1 МБ кода. По итогам исследования был составлен следующий рейтинг: 

• Classic ASP – 1 686,6 брешей/МБ (1 112 критических)

• ColdFusion – 262,8 брешей/МБ (227 критических)

• PHP – 184 брешей/МБ (47 критических)

• Java – 51,8 брешей/МБ (5,2 критических)

• .NET – 32,5 брешей/МБ (9,7 критических)

• C++ – 26,7 брешей/МБ (8,8 критических)

• iOS – 23,4 брешей/МБ (0,9 критических)

• Android – 11,3 брешей/МБ (0,4 критических)

• JavaScript – 8,1 брешей/МБ (0,09 критических) 

Согласно отчету, 83% приложений на ColdFusion, 81% приложений на PHP и 79% на Classic ASP не прошли проверку OWASP Top 10. 

По данным Veracode, 86% приложений на PHP содержали по меньшей мере одну XSS-брешь. 56% программ оказались уязвимы к внедрению SQL-кода. Также приложения позволяли осуществить атаку типа обратный путь в директориях (67%) и внедрение кода (61%). В числе других проблем: некорректный процесс обработки учетных данных (58%), уязвимости в криптографическом протоколе (73%) и бреши, позволяющие утечку данных (50%).

Такое положение вещей значительно влияет на общую ситуацию в Интернете, поскольку порядка 70% систем по управлению контентом работают на базе WordPress, Drupal и Joomla, подчеркивают эксперты.

Open Web Application Security Project (OWASP) - открытый проект обеспечения безопасности web-приложений. Сообщество OWASP включает в себя корпорации, образовательные организации и частных лиц со всего мира. Участники проекта уже десять лет составляют список Топ-10 самых опасных уязвимостей в web-приложениях, стараясь привлечь внимание всех web-разработчиков.