Rizika programovacích jazyků pro webové aplikace

Společnost WhiteHat Security provedla rozsáhlý průzkum zabezpečení webových aplikací ve vztahu k technologiím, na nichž jsou vyvíjeny. Celkem bylo po 3 roky sledováno 1 700 webů, na nichž běžely kritické obchodní aplikace.


WhiteHad na jednu stranu postavil programovací jazyky, respektive platformy představující základ aplikace. Proti nim vyhodnotil, jaký poměr aplikací na jaké platformě obsahuje příslušná bezpečnostní rizika (SQL injection, cross-site scripting, ale třeba i spoofing, fixace relace nebo indexování adresářů – sledována takto byla celá řada parametrů).

Mezi různými technologiemi existují v zabezpečení značné rozdíly – samozřejmě záleží na konkrétní implementaci, ale například aplikace na Perlu nebo Cold Fusion byly zranitelné velmi mnohem častěji. Aplikace postavené na Perlu, Cold Fusion, JSP a PHP obsahovaly nějakou závažnou zranitelnost až po 80 % sledovaného období. Nejméně náchylné k útokům byly naproti tomu ASPX (Microsoft .NET) a DO (Struts Java).

Jiné výsledky daly statistiky, které posuzovaly, jak dlouho od objevení zranitelnosti trvá zabezpečení aplikace. Zde dobře dopadlo PHP a JSP, na opačném konci žebříčku ASP a ASPX. Vyplývá z toho mj., že rozdíl v samotném počtu zranitelností tedy ještě více favorizuje technologie Microsoftu.

 

Zdroj: HelpNet Security

 Komentáře