Veracode назвала самые уязвимые языки программирования

Согласно результатам нового исследования специалистов Veracode, код в скриптовых языках является источником значительного количества уязвимостей в web-приложениях. Отчет основан на результатах анализа более 200 тыс. приложений на распространенных языках программирования - PHP, Java, Microsoft Classic ASP, .NET, iOS, Android, C и C++, JavaScript, ColdFusion, Ruby и COBOL.

В ходе анализа специалисты использовали метрическую систему, измеряющую количество брешей на 1 МБ кода. По итогам исследования был составлен следующий рейтинг: 

Согласно отчету, 83% приложений на ColdFusion, 81% приложений на PHP и 79% на Classic ASP не прошли проверку OWASP Top 10. 

По данным Veracode, 86% приложений на PHP содержали по меньшей мере одну XSS-брешь. 56% программ оказались уязвимы к внедрению SQL-кода. Также приложения позволяли осуществить атаку типа обратный путь в директориях (67%) и внедрение кода (61%). В числе других проблем: некорректный процесс обработки учетных данных (58%), уязвимости в криптографическом протоколе (73%) и бреши, позволяющие утечку данных (50%).

Такое положение вещей значительно влияет на общую ситуацию в Интернете, поскольку порядка 70% систем по управлению контентом работают на базе WordPress, Drupal и Joomla, подчеркивают эксперты.

Open Web Application Security Project (OWASP) - открытый проект обеспечения безопасности web-приложений. Сообщество OWASP включает в себя корпорации, образовательные организации и частных лиц со всего мира. Участники проекта уже десять лет составляют список Топ-10 самых опасных уязвимостей в web-приложениях, стараясь привлечь внимание всех web-разработчиков.