Aplikace v PHP bývají děravé, lépe je na tom Java a MS.Net

Pavel Houser , 10. prosinec 2015 10:00 0 komentářů

Analýza společnosti Veracode uvácí na to, že 80 % analyzovaných aplikací PHP, ASP a ColdFusion obsahuje alespoň 1 zranitelnost proti nejběžnějším typům útoků. Testování bezpečnosti probíhalo v rámci projektu OWASP (Open Web Application Security Project).

Ačkoliv konkrétní výsledky studie popisují shrnutí na webech The Register a Help-Net Security poněkud odlišně, základní sdělení je jasné. Vůbec nejhůře dopadly aplikace vyvinuté v PHP. Ještě větší je tento poměr u PHP aplikací vytořených pomocí 3 nepoužívanějších redakčních (CMS) systémů - WordPress, Drupal a Joomla. Na těchto CMS běží dnes asi 70 % webů, 86 % z nich je přitom zranitelných přes útoky cross-site scripting, 73 % má potíže se šifrováním, 58 % se správou oprávnění, 61 % těchto webů umožňuje vsunutí kódu, z toho 56 % konkrétně SQL injection.

Aplikace napsané v ASP („klasickém“, nikoliv ASP.net) a ColdFusion jsou na tom jen o málo lépe, když např. základními útoky je zranitelných asi 2/3 aplikací v ASP a 62 % v Cold Fusion. Ovšem dvakrát menší množství bezpečnostních chyb se vyskytuje u platforem Java a MS.Net. Tyto platformy podle výzkumníků Veracode nenutí vývojáře alokovat paměť, takže jsou prakticky odolné proti zneužitím s přetečením zásobníku, chování ovládacích prvků ASP.Net by zase mělo bránit nejběžnějším útokům cross-site scripting apod. (poznámka: v případě Java a MS:Net se jedná ovšem o nákladnější a složitější prostředí používané spíše pro velké aplikace, takže lze předpokládat, že ty jsou lépe zabezpečené bez ohledu na podkladovou platformu na serveru, vývojáři spíše řeší nasazování aktualizací atd).

Analýza se zaměřuje také na mobilní aplikace. 87 % aplikací pro Android a 80 % aplikací pro iOS má údajně nedostatky v oblasti implementace šifrování. 90 % aplikací pro Android vykazuje problémy i z hlediska kvality kódu.

Do studie bylo celkem zahrnuto 50 000 aplikací, testy trvaly 18 měsíců. Chris Wysopal ze společnosti Veracode k výsledkům studie dodává, že ve větších firmách by se bezpečnostní týmy měly podílet na rozhodování už v době, kdy se pro projekt teprve vybírá vývojová platforma a metodologie.


Komentáře

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







Kalendář

21. 10. WordCamp Brno 2017
24. 10. VeeamON Forum 2017
25. 10.

26. 10.
Profesia days 2017
RSS 

Zprávičky

Firmu Moravia IT koupil britský konkurent RWS Holding

ČTK , 19. říjen 2017 21:26

Mezi zákazníky firmy specializující se na lokalizaci a testování softwaru patří např. Microsoft, IBM...

Více 0 komentářů

Státní ústav pro kontrolu léčiv hájí elektronické recepty

ČTK , 19. říjen 2017 10:00

V ČR se vydá 60-70 milionů papírových receptů ročně. Podle ministerstva je elektronizace zdravotnict...

Více 0 komentářů

Ransomware Locky v září masivně útočil ve světě i v ČR

Pavel Houser , 19. říjen 2017 09:30

Locky se neobjevil v Top 10 škodlivých kódů od listopadu 2016....

Více 0 komentářů

Starší zprávičky

Podnikové služby tvoří už 5 % českého HDP

Pavel Houser , 19. říjen 2017 09:00

Podnikové služby v ČR rostly o 19 %, největší boom zažívají centra poskytující IT služby....

Více 0 komentářů

Komárkova KKCG koupila 70 % firmy AutoCont

ČTK , 19. říjen 2017 08:00

Důvodem k prodeji byla možnost expanze AutoContu na další trhy....

Více 0 komentářů

Seznam loni zvýšil čistý zisk o 9 % na 1,1 miliardy Kč

ČTK , 18. říjen 2017 10:00

Největší podíl na tržbách měly příjmy z reklamy ve vyhledávání, tedy z reklamního systému Sklik. ...

Více 0 komentářů

Dopravní podnik spustil v 6 stanicích metra wi-fi připojení k internetu

ČTK , 18. říjen 2017 08:00

Ve stanicích je rozmístěno 75 vysílačů a dodavatelská firma musela vybudovat veškerou infrastrukturu...

Více 0 komentářů