如果你使用.NET、C++、Java、JavaScript、PHP或Python等语言进行开发的用户请注意,最新研究表明这些安全漏洞需要注意。
静态代码分析安全公司Veracode近日发布报告称,通过对13万APP进行安全扫描,研究人员发现了其中最常见的安全漏洞类型。
JavaScript 是目前最流行的前端开发语言,Veracode 发现这13万APP 中有31.5% 至少含有1个 XSS 漏洞,用PHP 语言开发的APP 中有74.6%至少含有1个 XSS 漏洞。此外,71%的PHP APP 中含有加密相关的安全问题。
.NET 语言开发的APP的主要问题是信息泄露,62.8% 的.NET APP中存在这个问题,C++开发的APP中最主要的问题是错误处理,66.5% 的APP存在该问题。
对Java app来说,最主要的安全问题是Carriage Return(回车)/ Line Feed(换行) /CRLF injection(CRLF注入),64.4%的Java app存在该问题。
研究人员发现每种语言开发的APP的安全性也有所差异。用C++编写的APP中有 59% 存在高危漏洞,用PHP编写的APP中有 52% 存在高危漏洞,用Java编写的APP中只有24% 存在高危漏洞,而用JavaScript编写的APP中只有9.6% 存在高危漏洞。
C++中缓存溢出漏洞的数量正在下降,其中的原因包括C++已经不那么流行了,而且开发者也在减少类似问题的出现。而JavaScript和python中此类问题比较突出,原因是JavaScript比较流行。
PHP仍然是web应用开发中最流行的脚本语言,PHP代码中的安全漏洞也非常多,其中的原因就包括PHP 中提供了许多不安全的原语。
更多参见:
https://www.veracode.com/sites/default/files/pdf/resources/ipapers/security-flaw-heatmap/index.html
本文翻译自:
https://www.zdnet.com/article/programming-language-security-these-are-the-worst-bugs-for-each-top-language/