Một nghiên cứu mới cho thấy các ngôn ngữ lập trình kịch bản (Scripting language) là nguyên nhân dẫn đến ngày một nhiều lỗ bảo mật trong ứng dụng web, dấy lên làn sóng quan tâm về các lỗ hổng tiềm tàng trong hàng triệu website.
Công ty bảo mật Veracode đã đăng tải một báo cáo về “Thực trạng an toàn phần mềm: Tập trung vào phát triển ứng dụng” (PDF), phân tích hơn 200,000 ứng dụng khác nhau từ 1/10/2013 đến 31/3/2015. Các nhà nghiên cứu đã thực hiện phân loại dựa theo các ngôn ngữ lập trình web phổ biến hiện nay như PHP, Java, JavaScript, Ruby, .NET, C và C++, Microsoft Classic ASP, Android, iOS, và COBOL.
Theo báo cáo, độ phổ biến của PHP thấp hơn Classic ASP vàColdFusion – nhưng có rủi ro cao nhất trên Internet – so sánh với Java và .Net là hai ngôn ngữ an toàn nhất. Báo cáo của Veracode sử dụng một thước đo rất độc đáo: mật độ lỗ hổng trên mỗi megabyte (số lượng lỗ hổng bảo mật trên mỗi MB mã nguồn).
Classic ASP – 1,686 lỗ hổng/MB
ColdFusion – 262 lỗ hổng/MB
PHP – 184 lỗ hổng/MB
Java – 51 lỗ hổng/MB
.NET – 32 lỗ hổng/MB
C++ – 26 lỗ hổng/MB
iOS – 23 lỗ hổng/MB
Android – 11 lỗ hổng/MB
JavaScript – 8 lỗ hổng/MB
PHP đứng thứ ba, nhưng thực chất dẫn đầu do lỗ hổng ColdFusion là một công cụ ít được biết đến và Classic ASP gần như không còn tồn tại.
Một số thông kê sau sẽ cho ta thấy rõ hơn về PHP:
86% ứng dụng viết bằng PHP chứa ít nhất một lỗ hổng cross-site scripting (XSS).
56% ứng dụng chứa SQLi (SQL injection) – là một trong những lỗ hổng nguy hiểm nhất và rất dễ khai thác.
67% ứng dụng cho phép duyệt chỉ mục (directory traversal).
61% ứng dụng cho phép code injection.
58% ứng dụng có vấn đề về quản lý ủy quyền
73% ứng dụng chứa vấn đề về mã hóa
50% có thể rò rỉ thông tin.
Theo đó SQLi và XSS là hai lỗ hổng phổ biến nguy hiểm nhất đối với ứng dụng web theo Open Web Application Security Project (OWASP).
THN
Comments are closed.
Cảm ơn bạn vì đã đăng ký!
Đừng quên kiểm tra hòm thư của mình thường xuyên
để không bỏ lỡ các bài viết tin tức và kiến thức mới nhất từ SecurityDaily nhé!
Comments are closed.