margin-top: 125px; border: 1px solid gray; } -->

Aplikace v PHP bývají děravé, lépe je na tom Java a MS.Net

Pavel Houser , 10. prosinec 2015 10:00 0 komentářů

Analýza společnosti Veracode uvácí na to, že 80 % analyzovaných aplikací PHP, ASP a ColdFusion obsahuje alespoň 1 zranitelnost proti nejběžnějším typům útoků. Testování bezpečnosti probíhalo v rámci projektu OWASP (Open Web Application Security Project).

Ačkoliv konkrétní výsledky studie popisují shrnutí na webech The Register a Help-Net Security poněkud odlišně, základní sdělení je jasné. Vůbec nejhůře dopadly aplikace vyvinuté v PHP. Ještě větší je tento poměr u PHP aplikací vytořených pomocí 3 nepoužívanějších redakčních (CMS) systémů - WordPress, Drupal a Joomla. Na těchto CMS běží dnes asi 70 % webů, 86 % z nich je přitom zranitelných přes útoky cross-site scripting, 73 % má potíže se šifrováním, 58 % se správou oprávnění, 61 % těchto webů umožňuje vsunutí kódu, z toho 56 % konkrétně SQL injection.

Aplikace napsané v ASP („klasickém“, nikoliv ASP.net) a ColdFusion jsou na tom jen o málo lépe, když např. základními útoky je zranitelných asi 2/3 aplikací v ASP a 62 % v Cold Fusion. Ovšem dvakrát menší množství bezpečnostních chyb se vyskytuje u platforem Java a MS.Net. Tyto platformy podle výzkumníků Veracode nenutí vývojáře alokovat paměť, takže jsou prakticky odolné proti zneužitím s přetečením zásobníku, chování ovládacích prvků ASP.Net by zase mělo bránit nejběžnějším útokům cross-site scripting apod. (poznámka: v případě Java a MS:Net se jedná ovšem o nákladnější a složitější prostředí používané spíše pro velké aplikace, takže lze předpokládat, že ty jsou lépe zabezpečené bez ohledu na podkladovou platformu na serveru, vývojáři spíše řeší nasazování aktualizací atd).

Analýza se zaměřuje také na mobilní aplikace. 87 % aplikací pro Android a 80 % aplikací pro iOS má údajně nedostatky v oblasti implementace šifrování. 90 % aplikací pro Android vykazuje problémy i z hlediska kvality kódu.

Do studie bylo celkem zahrnuto 50 000 aplikací, testy trvaly 18 měsíců. Chris Wysopal ze společnosti Veracode k výsledkům studie dodává, že ve větších firmách by se bezpečnostní týmy měly podílet na rozhodování už v době, kdy se pro projekt teprve vybírá vývojová platforma a metodologie.


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Bitcoin kvůli měnovým zmatkům v Indii dosáhl maxima za tři roky

ČTK , 11. prosinec 2016 14:00

Hodnota kybernetické měny bitcoin dosáhla dnes nejvyšší úrovně za téměř tři roky. Za poslední měsíc ...

Více 0 komentářů

Výdaje Čechů za telekomunikační služby klesly na 429 Kč měsíčně

ČTK , 11. prosinec 2016 10:55

Výdaje Čechů za telekomunikační a poštovní služby klesly za posledních šest let o čtyři procenta na ...

Více 0 komentářů

Nový zákon o výzkumu chystá "blacklist" příjemců i ministerstvo

ČTK , 09. prosinec 2016 16:31

Velké změny ve fungování Grantové a Technologické agentury, novou vědeckou radu ČR i takzvaný "black...

Více 0 komentářů

Starší zprávičky

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů