margin-top: 125px; border: 1px solid gray; } -->

Aplikace v PHP bývají děravé, lépe je na tom Java a MS.Net

Pavel Houser , 10. prosinec 2015 10:00 0 komentářů

Analýza společnosti Veracode uvácí na to, že 80 % analyzovaných aplikací PHP, ASP a ColdFusion obsahuje alespoň 1 zranitelnost proti nejběžnějším typům útoků. Testování bezpečnosti probíhalo v rámci projektu OWASP (Open Web Application Security Project).

Ačkoliv konkrétní výsledky studie popisují shrnutí na webech The Register a Help-Net Security poněkud odlišně, základní sdělení je jasné. Vůbec nejhůře dopadly aplikace vyvinuté v PHP. Ještě větší je tento poměr u PHP aplikací vytořených pomocí 3 nepoužívanějších redakčních (CMS) systémů - WordPress, Drupal a Joomla. Na těchto CMS běží dnes asi 70 % webů, 86 % z nich je přitom zranitelných přes útoky cross-site scripting, 73 % má potíže se šifrováním, 58 % se správou oprávnění, 61 % těchto webů umožňuje vsunutí kódu, z toho 56 % konkrétně SQL injection.

Aplikace napsané v ASP („klasickém“, nikoliv ASP.net) a ColdFusion jsou na tom jen o málo lépe, když např. základními útoky je zranitelných asi 2/3 aplikací v ASP a 62 % v Cold Fusion. Ovšem dvakrát menší množství bezpečnostních chyb se vyskytuje u platforem Java a MS.Net. Tyto platformy podle výzkumníků Veracode nenutí vývojáře alokovat paměť, takže jsou prakticky odolné proti zneužitím s přetečením zásobníku, chování ovládacích prvků ASP.Net by zase mělo bránit nejběžnějším útokům cross-site scripting apod. (poznámka: v případě Java a MS:Net se jedná ovšem o nákladnější a složitější prostředí používané spíše pro velké aplikace, takže lze předpokládat, že ty jsou lépe zabezpečené bez ohledu na podkladovou platformu na serveru, vývojáři spíše řeší nasazování aktualizací atd).

Analýza se zaměřuje také na mobilní aplikace. 87 % aplikací pro Android a 80 % aplikací pro iOS má údajně nedostatky v oblasti implementace šifrování. 90 % aplikací pro Android vykazuje problémy i z hlediska kvality kódu.

Do studie bylo celkem zahrnuto 50 000 aplikací, testy trvaly 18 měsíců. Chris Wysopal ze společnosti Veracode k výsledkům studie dodává, že ve větších firmách by se bezpečnostní týmy měly podílet na rozhodování už v době, kdy se pro projekt teprve vybírá vývojová platforma a metodologie.


Komentáře

RSS 

Komentujeme

Telefony vodní i podvodní

Pavel Houser , 16. červen 2017 13:00
Pavel Houser

Jako zajímavou technickou kuriozitu lze uvést, že všech 28 států NATO schválilo protokol Janus, kter...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

VMware Horizon v cloudu Microsoft Azure

Pavel Houser , 22. červen 2017 11:50

Řešení pro poskytování desktopu jako služby za poslední roky vyzrála....

Více 0 komentářů

Akcelerátor StartupYard získal 26 milionů Kč

Pavel Houser , 22. červen 2017 11:00

Pražský startupový akcelerátor společně s Fundliftem oznámil investici, kterou získal formou neveřej...

Více 0 komentářů

Česká asociace pojišťoven k pojištění kybernetických rizik

Pavel Houser , 22. červen 2017 10:00

Policie ČR v roce 2016 šetřila 5 344 kybernetických zločinů, což je o 321 (resp. 6,4 %) více než v p...

Více 0 komentářů

Starší zprávičky

Soud řešil krádež bitcoinů. Znalec řekl, že obžalovaný je vinen

ČTK , 22. červen 2017 09:00

Tržiště vykradli dva Američané, převedli z něj bitcoiny asi za 100 milionů korun. Jiříkovský následn...

Více 2 komentářů

Národní elektronický nástroj bude povinný od července 2018

ČTK , 22. červen 2017 08:00

Od dubna platí, že všechny organizační složky státu a centrální zadavatelé musí s dodavateli zakázek...

Více 0 komentářů

Zadavatelé reklamy na Google nejvíc zaplatí u půjček a pojištění

ČTK , 21. červen 2017 12:00

Nejnižší platbu za jedno kliknutí uživatelem mají vedle knih lékárny....

Více 3 komentářů

Nejcitlivější údaj? Výše úspor

Pavel Houser , 21. červen 2017 11:00

Jen 13 % klientů bank zmínilo, že možné riziko vidí v rámci využívání internetového bankovnictví ban...

Více 0 komentářů