最近,大量报道的出现,让人们的注意力转移到了drupal 和wordpress的漏洞上边。许多攻击行为已被归因为黑客在利用wordpress上的漏洞,并且在drupal上也出现了类似的情况。然而,现在已经发现了罪魁祸首,而且它长期在产生不良影响,那就是php语言。
最糟糕的语言
在过去的18个月中,veracode研究了超过50000个应用程序,这些程序都使用了流行的语言,比如php, classic asp, .net, c和c++, java, javascript, ios, android, ruby, coldfusion, 以及 cobol。该报告的产生是基于对一些语言的问题的分析。例如,根据报告显示,有86%的软件用php编写,至少存在有一个xss漏洞。
此外,根据报告显示,至少有56%的软件存在一个sql注入漏洞。对于classic asp和coldfusion用户,sql注入漏洞的结果更令人担心,因为根据报告显示,有64%的软件使用了这两种语言,所以至少存在一个sql注入漏洞。根据owasp的测试结果显示,类似的情况在coldfusion, php, 和 classic asp上也有出现。按此情况看,在论及软件安全性的时候,这些语言是最糟糕的语言。
veracode的创始人和首席技术官chris wysopal说,sql注入攻击一直持续不断的原因就在于类似于php语言的使用。这样的语言很难保证程序安全。据他所说,脚本语言导致了最近如此多的xss漏洞,缓冲溢出以及sql注入攻击事件的发生,根据veracode基于云数据分析和应用研究的报告数据,可以轻易证实他的理念。
出现这些问题的原因
产生这些漏洞的主要原因是,这些语言使用的方式,以及例如php, classic asp 和coldfusion语言的设计方法。这些语言缺少像.net and java的内置功能和安全apis,这也就是为什么这些脚本语言,会更易导致xss漏洞,缓冲溢出和sql注入攻击的出现。
sql注入攻击在sql查询没有绑定参数时发生,php对于绑定参数根本起不到任何作用,因此使得它更易受到sql注入攻击。
由于php, coldfusion 和 classic asp语言目前主要是由那些刚进入编码领域的网页开发者使用,他们主要关心的是让他们的网站看上去更棒,所以他们没有使用提供安全功能的语言,如.net和 java。很多时候,这甚至不是开发人员的错,因为不管他们的公司提供给他们什么平台,他们也必须工作。
移动语言
上文提到的veracode的报告,还提供了android和ios应用程序的研究结果。当你比较它们时,在安全方面没有很大程度的差异。87%的android程序存在有漏洞,与之相比,情况比较类似,有81%的ios程序存在漏洞。在这两种语言中,存在如此多的漏洞的主要原因是,没有执行适当的ssl证书检查,以及使用过时的密码加密算法。这样的做法导致了安全漏洞。
结论
coldfusion, php, 和classic asp,这三种最糟糕的语言产生最多的软件安全漏洞。这些语言在veracode的分析报告和owasp的测试报告中,表现的最差,这说明它们在其他的语言中有最多的安全漏洞。
由于超过70%的内容管理使用了如drupal, joomla,和 wordpress系统,这些系统都是基于php语言的,这份报告应该公开那些使用了这些内容管理系统和脚本语言的公司。
本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:https://www.hackread.com/program-languages-that-generate-most-software-security-bugs/