Aplikace v PHP bývají děravé, lépe je na tom Java a MS.Net

Analýza společnosti Veracode uvácí na to, že 80 % analyzovaných aplikací PHP, ASP a ColdFusion obsahuje alespoň 1 zranitelnost proti nejběžnějším typům útoků. Testování bezpečnosti probíhalo v rámci projektu OWASP (Open Web Application Security Project).
Ačkoliv konkrétní výsledky studie popisují shrnutí na webech The Register a Help-Net Security poněkud odlišně, základní sdělení je jasné. Vůbec nejhůře dopadly aplikace vyvinuté v PHP. Ještě větší je tento poměr u PHP aplikací vytořených pomocí 3 nepoužívanějších redakčních (CMS) systémů – WordPress, Drupal a Joomla. Na těchto CMS běží dnes asi 70 % webů, 86 % z nich je přitom zranitelných přes útoky cross-site scripting, 73 % má potíže se šifrováním, 58 % se správou oprávnění, 61 % těchto webů umožňuje vsunutí kódu, z toho 56 % konkrétně SQL injection.

Aplikace napsané v ASP („klasickém“, nikoliv ASP.net) a ColdFusion jsou na tom jen o málo lépe, když např. základními útoky je zranitelných asi 2/3 aplikací v ASP a 62 % v Cold Fusion. Ovšem dvakrát menší množství bezpečnostních chyb se vyskytuje u platforem Java a MS.Net. Tyto platformy podle výzkumníků Veracode nenutí vývojáře alokovat paměť, takže jsou prakticky odolné proti zneužitím s přetečením zásobníku, chování ovládacích prvků ASP.Net by zase mělo bránit nejběžnějším útokům cross-site scripting apod. (poznámka: v případě Java a MS:Net se jedná ovšem o nákladnější a složitější prostředí používané spíše pro velké aplikace, takže lze předpokládat, že ty jsou lépe zabezpečené bez ohledu na podkladovou platformu na serveru, vývojáři spíše řeší nasazování aktualizací atd).

Analýza se zaměřuje také na mobilní aplikace. 87 % aplikací pro Android a 80 % aplikací pro iOS má údajně nedostatky v oblasti implementace šifrování. 90 % aplikací pro Android vykazuje problémy i z hlediska kvality kódu.

Do studie bylo celkem zahrnuto 50 000 aplikací, testy trvaly 18 měsíců. Chris Wysopal ze společnosti Veracode k výsledkům studie dodává, že ve větších firmách by se bezpečnostní týmy měly podílet na rozhodování už v době, kdy se pro projekt teprve vybírá vývojová platforma a metodologie.

Exit mobile version