margin-top: 125px; border: 1px solid gray; } -->

Aplikace v PHP bývají děravé, lépe je na tom Java a MS.Net

Pavel Houser , 10. prosinec 2015 10:00 0 komentářů

Analýza společnosti Veracode uvácí na to, že 80 % analyzovaných aplikací PHP, ASP a ColdFusion obsahuje alespoň 1 zranitelnost proti nejběžnějším typům útoků. Testování bezpečnosti probíhalo v rámci projektu OWASP (Open Web Application Security Project).

Ačkoliv konkrétní výsledky studie popisují shrnutí na webech The Register a Help-Net Security poněkud odlišně, základní sdělení je jasné. Vůbec nejhůře dopadly aplikace vyvinuté v PHP. Ještě větší je tento poměr u PHP aplikací vytořených pomocí 3 nepoužívanějších redakčních (CMS) systémů - WordPress, Drupal a Joomla. Na těchto CMS běží dnes asi 70 % webů, 86 % z nich je přitom zranitelných přes útoky cross-site scripting, 73 % má potíže se šifrováním, 58 % se správou oprávnění, 61 % těchto webů umožňuje vsunutí kódu, z toho 56 % konkrétně SQL injection.

Aplikace napsané v ASP („klasickém“, nikoliv ASP.net) a ColdFusion jsou na tom jen o málo lépe, když např. základními útoky je zranitelných asi 2/3 aplikací v ASP a 62 % v Cold Fusion. Ovšem dvakrát menší množství bezpečnostních chyb se vyskytuje u platforem Java a MS.Net. Tyto platformy podle výzkumníků Veracode nenutí vývojáře alokovat paměť, takže jsou prakticky odolné proti zneužitím s přetečením zásobníku, chování ovládacích prvků ASP.Net by zase mělo bránit nejběžnějším útokům cross-site scripting apod. (poznámka: v případě Java a MS:Net se jedná ovšem o nákladnější a složitější prostředí používané spíše pro velké aplikace, takže lze předpokládat, že ty jsou lépe zabezpečené bez ohledu na podkladovou platformu na serveru, vývojáři spíše řeší nasazování aktualizací atd).

Analýza se zaměřuje také na mobilní aplikace. 87 % aplikací pro Android a 80 % aplikací pro iOS má údajně nedostatky v oblasti implementace šifrování. 90 % aplikací pro Android vykazuje problémy i z hlediska kvality kódu.

Do studie bylo celkem zahrnuto 50 000 aplikací, testy trvaly 18 měsíců. Chris Wysopal ze společnosti Veracode k výsledkům studie dodává, že ve větších firmách by se bezpečnostní týmy měly podílet na rozhodování už v době, kdy se pro projekt teprve vybírá vývojová platforma a metodologie.


Komentáře

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

O2 zvýšila do března čistý zisk o tři procenta na 1,29 miliardy

ČTK , 30. duben 2017 12:00

Operátor O2 zvýšil v prvním čtvrtletí zisk o tři procenta na 1,29 miliardy korun. Konsolidované výno...

Více 0 komentářů

Amazon za čtvrtletí zvýšil tržby i zisk

ČTK , 30. duben 2017 09:00

Čtvrtletní zisk a tržby amerického internetového obchodu Amazon překonaly očekávání. Zisk v prvním k...

Více 0 komentářů

Nintendo hlásí prudký růst tržeb, pomohla nová konzole Switch

ČTK , 29. duben 2017 16:00

Čtvrtletní tržby japonského výrobce videoher Nintendo se díky silné poptávce po nové herní konzoli S...

Více 0 komentářů

Starší zprávičky

Turecko na internetu zablokovalo přístup k Wikipedii

ČTK , 29. duben 2017 13:49

Turecko zablokovalo přístup k Wikipedii - volně přístupné encyklopedii na internetu. Důvodem je obsa...

Více 0 komentářů

Čtvrtletní zisk Microsoftu dík cloudovým službám vzrostl o 28 pct

ČTK , 29. duben 2017 10:00

Čistý zisk amerického softwarového gigantu Microsoft ve třetím čtvrtletí finančního roku meziročně s...

Více 0 komentářů

Čtvrtletní zisk a tržby majitele Googlu výrazně vzrostly

ČTK , 28. duben 2017 15:00

Čistý zisk americké společnosti Alphabet, která je majitelem internetového gigantu Google, v prvním ...

Více 0 komentářů

Bývalí manažeři Olympusu mají zaplatit miliardy za účetní podvod

ČTK , 28. duben 2017 14:00

Skupina bývalých vedoucích pracovníků japonské společnosti Olympus musí firmě zaplatit odškodné 58,8...

Více 0 komentářů