プログラミング言語はソフトウェアセキュリティの脆弱性を最も多く生み出します

おそらくあなたはトップの開発者またはトップのプログラマーですが、プログラミング言語がソフトウェア セキュリティの脆弱性を最も多く生み出すことをご存知ですか。

最近、多数の報告により、Drupal と WordPress の脆弱性に人々の注目が集まっています。多くの攻撃は WordPress の脆弱性を悪用したハッカーによるものと考えられており、同様の状況が Drupal でも発生しています。しかし、その犯人は現在発見されており、長い間悪影響を及ぼし続けてきた PHP 言語です。

最悪の言語

過去 18 か月にわたって、Veracode は、PHP、クラシック ASP、.NET、C および C++、Java、JavaScript、iOS、Android、Ruby、ColdFusion、COBOL などの一般的な言語を使用した 50,000 を超えるアプリケーションを調査してきました。 。このレポートは、多くの言語問題の分析に基づいています。たとえば、レポートによると、PHP で書かれたソフトウェアの 86% には、少なくとも 1 つの XSS 脆弱性があります。

さらに、レポートによると、ソフトウェアの少なくとも 56% に SQL インジェクションの脆弱性があります。 Classic ASP および ColdFusion のユーザーにとって、SQL インジェクションの脆弱性の結果はさらに憂慮すべきものです。レポートによると、これら 2 つの言語を使用するソフトウェアの 64% に少なくとも 1 つの SQL インジェクションの脆弱性があるためです。 OWASP のテスト結果によると、ColdFusion、PHP、および Classic ASP でも同様の状況が発生します。現状では、ソフトウェアのセキュリティに関して言えば、これらは使用するには最悪の言語です。

Veracode 創設者兼 CTO Chris Wysopal 氏は、SQL インジェクション攻撃が続く理由は PHP に似た言語が使用されているためであると述べました。このような言語ではプログラムの安全性を確保するのは困難です。同氏によると、スクリプト言語は最近非常に多くの XSS 脆弱性、バッファ オーバーフロー、SQL インジェクション攻撃の発生を引き起こしているとのことで、クラウド データ分析とアプリケーション調査に基づいた Veracode のレポート データによれば、彼の概念は簡単に確認できます。

これらの問題の理由

これらの脆弱性の主な理由は、これらの言語の使用方法と、PHP、Classic ASP、ColdFusion などの言語の設計方法にあります。これらの言語には、.NET や Java の組み込み機能やセキュリティ API が欠けているため、これらのスクリプト言語は XSS 脆弱性、バッファ オーバーフロー、SQL インジェクション攻撃の影響を受けやすくなります。

SQL インジェクション攻撃は、SQL クエリにバインドされたパラメーターがない場合に発生します。PHP はバインドされたパラメーターにまったく影響を及ぼさないため、SQL インジェクション攻撃に対してより脆弱になります。

PHP、ColdFusion、およびクラシック ASP 言語は現在、コーディングに不慣れな Web 開発者によって主に使用されており、Web サイトの見栄えを良くすることが主な関心事であるため、彼らは のようなセキュリティ機能を提供する言語を使用していません。 NETとJava。多くの場合、開発者は会社が提供するどんなプラットフォームでも作業しなければならないため、開発者のせいではありません。

モバイル言語

上記の Veracode レポートでは、Android および iOS アプリケーションに関する調査結果も提供されています。比較してみると、安全性に関しては大きな差はありません。 Android プログラムの 87% に脆弱性があり、iOS プログラムの 81% にも同様の状況があります。両方の言語に非常に多くの脆弱性がある主な理由は、適切な SSL 証明書チェックの実行に失敗したことと、古いパスワード暗号化アルゴリズムが使用されたことです。このような行為はセキュリティ上の脆弱性につながります。

結論

ColdFusion、PHP、および Classic ASP、これら 3 つの最悪の言語は、ソフトウェア セキュリティの脆弱性を最も多く生成します。これらの言語は、Veracode の分析レポートと OWASP のテスト レポートで最も悪いパフォーマンスを示しており、他の言語の中で最も多くのセキュリティ脆弱性があることが示されています。

コンテンツ管理の 70% 以上が Drupal、Joomla、WordPress などのシステムを使用しており、これらはすべて PHP 言語に基づいているため、このレポートではこれらのコンテンツ管理システムとスクリプト言語を使用している企業を開示する必要があります。

この記事は360セキュリティ放送から翻訳されたものです。転載する場合は「360セキュリティ放送から転載」と明記の上、リンクを貼ってください。

元のリンク: https://www.hackread.com/program-langages-that-generate-most-software-security-bugs/