白帽安全报告:web安全的根源不在开发语言

2021-09-27 Ever


1483672387629424.png

最新发布的2014年白帽web安全统计报告显示,接受抽样调查的3万个网站中,28%的网站采用了微软的.NET开发平台,其次是Java(25%)和ASP(16%)。
负责撰写报告的首席研究员Gabriel Gumbs指出: 没有哪一种开发语言或平台有着明显的安全性优势,从漏洞数量来看,大量网站使用的不同的开发语言之间并没有太大的差异。

从报告统计的开发语言的漏洞数量来看,.NET网站平均有11.36个漏洞,Java11.32个排第二,其后依次是ASP 10.98个,Perl7个,ColdFusion6个。几个主要开发平台的漏洞数量基本处于同一个数量级。报告显示,2014年来最流行的web安全漏洞是跨站脚本(去年该漏洞一度将第一的宝座让给信息泄露),其余四个Top5漏洞分别是信息泄露、内容欺骗、HTTP响应头截断(HTTPresponse splitting)和可预测资源分配(predictable resource allocation)。

报告还指出,虽然网站运营者在修补漏洞这个环节上的速度已经得到提升,全球的网站安全总体上并未得到改善。新的web应用的安全性相比过去几年也并未有任何提升,但是相比日益突飞猛进的黑客攻击技术,web安全实际是“不进则退”。

提供应用安全云检测服务的安全公司Veracode的副总裁Chris Eng认为2014年度的白帽网站安全统计报告基本靠谱,与Veracode的数据统计基本吻合。白帽web报告最后指出,开发者不会根据安全性来选择开发语言,安全性目前只在开发平台选择因素中排名第五至第六位。

安全牛点评:web应用安全停滞不前的根源不在开发平台的安全性,而是因为企业的一把手们缺少安全意识和安全策略。企业在应用开发安全环节普遍短视,类似携程暴露的“低级”安全漏洞往往是因为企业的技术决策者只关注软件功能、ROI和项目开发周期,他们在开发者安全开发培训上投入很少,而且往往没有部署系统的软件开发政策,也很少有企业会对软件开发进行安全审计,遵从PCI这样的行业标准。

这种短视的软件开发价值观最终可能给企业埋下重大信息安全隐患,并最终以品牌和业务的巨大损失作为代价。


标签: 转载