最受欢迎的 Top语言及其 Top 10漏洞

最新推荐文章于 2024-02-22 10:33:33 发布
最新推荐文章于 2024-02-22 10:33:33 发布
阅读量261 收藏
点赞数
文章标签: 编程语言 web 微软 软件开发 项目管理
原文链接:https://codesafe.qianxin.com/#/home
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

Veracode 公司发布报告,基于所扫描的13万款 app,说明了其中最常见的安全问题。不管你用的是 .NET、C++、Java、JavaScript、PHP 还是 Python,都可了解需要注意的 Top 10 漏洞。

Top 10 漏洞

报告指出,

  • 在用 JavaScript 编写的 app 中,31.5% 至少含有一个跨站点脚本 (XSS) 缺陷;

  • 在用 PHP 编写的app 中,74.6% 至少含有一个 XSS 缺陷;

  • 在PHP 应用中,71% 存在加密问题;

  • .NET 应用中最主要的问题是信息泄露问题,占比 62.8%;

  • C++ 应用的最主要问题是错误处理,占比 66.5%;

  • Java 应用中占比最高的缺陷是回车符或换行符或 CRLF 注入,占比64.4%;

  • 在 Python 中,最常见的漏洞和加密有关,占比35%。

缺陷的严重程度分布

每种语言所含缺陷的严重程度也各不相同。在C++ 和 PHP 应用程序中,高危缺陷占比分别为59%和52%,Java 应用中高危缺陷占比为24%, 而JavaScript 应用中仅为9.6%。

漏洞趋势解读

Veracode 公司的首席安全官 Chris Eng 解释了为何用不同语言编写的应用中会出现某些漏洞趋势,以及如何降低修复成本。

Eng 指出,从漏洞总数上来看,十年来并未出现某种缺陷类型消失的情况。某些缺陷的情况虽然会有波动,但相比其它因素,漏洞数量的平均值更多地反映了人们选择语言的情况和语言的流行程度。

他还表示,C++ 应用中的常见漏洞即缓冲区溢出漏洞在减少,原因并非开发人员出现的这种问题在减少而是因为 C++ 的流行程度在下降。另外一方面,影响 JavaScript 和 Python 的安全问题在增多,原因是 JavaScript 目前非常流行。Java 和 .NET 仍然广受企业欢迎。PHP 虽然仍是最流行的 Web 应用开发脚本语言之一,但 PHP 的漏洞数量更多的原因在于 PHP 提供了如此多的不安全原语以及很多会导致出现错误的方法。

Eng 表示,.NET 的很多 API 的默认值更安全,因此相比 PHP,更难以在 .NET 中引发 XSS 或SQL 注入问题。在PHP 中,只要是默认的,除非碰巧在使用其中一种更现代化的框架以获取更多的保护措施,则会有很多方式导致错误发生。

虽然从所分析的 JavaScript 应用中找到的缺陷更少,但 JavaScript 的庞大的开源库 npm 生态系统仍然是一个潜在的薄弱点,尽管 JavaScript 的默认值更安全。Eng 指出,即使可以从自己编写的代码中找到并修复所有的漏洞,但还需要处理大量多种类型的第三方库。他认为,“打补丁的过程并没有预期那样美好。当前的趋势是开发人员在需要时下载最新的库版本,之后除非出现功能崩溃的情况,否则他们永远不会更新。”

如何解决打补丁的成本?

那么,工程和产品团队该如何降低修复关键应用程序的成本?Eng 建议将版本更新至最新版本,并认识到随着时间的流逝,应用程序会出现很多技术或安全负债。在某些节点,需要修复应用程序或打补丁,包括语言更新以及为关键库打补丁。

Eng 指出,“如果我当前使用的版本是4.5但4.6已发布,那么就可以应用该补丁,且出现功能崩溃问题的几率非常小。开源库不会在次要版本中对库进行重大修改。现在假设使用的是版本2,那么就不得不更新至4.6,而这个过程会出现很多困难,很痛苦。”对于 JavaScript 而言,这个库更新的问题会因为庞大的 npm 生态系统而变得更大;Java 的 Maven 库和 Python 的 PyPI 库也具有庞大的生态系统。

Eng 指出,一般的 JavaScript 应用具有400个依赖关系。但10%的 JavaScript 应用拥有1000个或2000个依赖关系。

最近,Snyk 公司指出,影响 JavaScript、Ruby、Java、PHP 和 Python 的安全漏洞是由某项目中加载的主要组件的间接依赖关系导致的。一些非常流行的 JavaScript 库用于80%到90%的 JavaScript 应用中。

Eng 表示,“只要其中一个数据包中存在一个漏洞,那么你就会继承该风险,而不止是安全风险。”比如2016年因出现纠纷,某开发人员从 npm 删除了 left-pad JavaScript 库的案例。该库从 GitHub 消失,导致三分之二的互联网突然崩溃。

(各语言的漏洞热力图 —— Veracode)

推荐阅读

GitHub 发布 Octoverse 开源软件安全趋势报告(超详)

2018年度Veracode软件安全报告

Linux 基金会发布《开源软件供应链安全报告》

原文链接

https://www.zdnet.com/article/programming-language-security-these-are-the-worst-bugs-for-each-top-language/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DVWA靶场,集成了owasp top 10漏洞
03-28
DVWA靶场,集成了owasp top 10漏洞,可以在这里面进行学习漏洞原理、利用和危害
2021年2月编程语言排行榜(TIOBE Index for February 2021)
ctrigger的专栏
02-07 3137
February Headline: it seems like nothing really changes Some say that the IT industry is changing continuously. Every day a new IT buzzword pops up somewhere. But if we take a closer look at the top 8 of the TIOBE index, it appears to be unchanged for t..
OWASP top 10漏洞原理及防御(2017版官方)
wwl012345的博客
08-08 1万+
文章目录一、OWASP top 10简介二、OWASP top 10详解A1:2017-注入 一、OWASP top 10简介 1.OWASP介绍 OWASP:开放式Web应用程序安全项目(Open Web Application Security Project),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有O...
owasp top10 | 十大常见漏洞详解
m0_73826804的博客
02-22 1350
在信息安全中渗透测试方向,OWASP TOP 10 是渗透测试人员必须要深入了解和学习的,今天我们来深入了解和学习下 OWASP 发布的以往最重要的两个版本,研究下我们 IT 行业从业人员最容易引入的漏洞,后续文章会更新具体的漏洞原因、场景、防护手段,提升我们的应用抗风险能力。应用程序安全风险攻击者可以通过应用程序中许多的不同的路径方式去危害企业业务。每种路径方法都代表了一种风险,这些风险都值得关注。
【OWASP TOP10】2021全球十大常见安全漏洞
weixin_53472121的博客
03-17 9363
十大安全漏洞 简单概括 文章目录十大安全漏洞前言一、 失效的访问控制1.概述2.攻击情景范例二、加密失败1.概述2.攻击情景范例三、 注入1.概述2.攻击情景范例四、不安全的设计1.概述2.攻击情景范例五、安全配置错误1.概述2.攻击情景范例六、易受攻击和过时的组件1.描述2.攻击情景范例七、认证和授权失败1.描述2.攻击情景范例八、软件和数据完整性故障1.描述2.攻击情景范例九、 安全日志记录和监控失败1.描述2.攻击情景范例十、:服务器请求伪造1.描述2.攻击情景范例总结 前言 现在勉强算入门了ct
2021年1月编程语言排行榜(TIOBE Index for January 2021)Python破纪录第四次获年度语言
ctrigger的专栏
01-04 3184
January Headline: Python is TIOBE's Programming Language of 2020! Python has won the TIOBE programming language of the year award! This is for the fourth time in the history, which is a record! The title is awarded to the programming language that has g..
网站安全攻防:十大常见漏洞及其防范对策
weixin_43263566的博客
05-13 6596
TOP 10 漏洞(介绍、原理、检测方式、修复方案)
信息安全入门——top10漏洞介绍
小白一枚多多关注的博客
05-13 1万+
web安全top10漏洞
渗透方向的学习-关于top10漏洞形成原因与修复解决方案一波[详细]之关于爆破漏洞
TTXcode的博客
03-20 1135
暂无
TopLanguage讨论精选一(2007.8-2007.10)
热门推荐
刘未鹏|C++的罗浮宫
10-05 2万+
TopLanguage讨论精选一(2007.8-2007.10) 注:TopLanguage是我建立的一个google讨论组,目的是交流任何编程相关的想法和问题。两个月来共有82位同学加入,574条讨论。 我会不定期将精彩的讨论贴出来(不得不说,TopLanguage的讨论质量真的很高): n        Error-Handling n        高阶特性与低阶
TopLanguage小组讨论精选[三](2007.11-2007.12)
刘未鹏|C++的罗浮宫
11-29 1万+
TopLanguage小组讨论精选[三](2007.11-2007.12) By 刘未鹏(pongba)C++的罗浮宫(http://blog.csdn.net/pongba) TopLanguage小组的成员已经超过28(279)啦!char已经存不下了,该换int了:-) 而讨论则已经超过了211(2379)! 最近很忙,没空写blog,于是在TopLanguage
OWASP TOP10 漏洞介绍中文版
04-21
OWASP_Top_10_2013-Chinese-V1.2 OWASP组织提供的前10漏洞清单 互联网运营必看
top指令参数详解
09-13
top指令详细参数解释
owasp top10漏洞讲解
07-22
web渗透之逻辑漏洞,1. 注入 2. 失效的身份认证和会话管理 3. 跨站攻击 4. 不安全的对象直接引用 5. 伪造跨站请求 6. 安全配置错误 7. 限制URL访问失败 8. 未验证的重定向和转发 9. 应用已知脆弱性的组件 10. 敏感...
OWASP Top 10 2017 v1.3中文最新版.pdf
08-25
owasp top owasp top owasp top 10中文最新版本 owasp top10 ......................
区块链安全Top 10 2019.pdf
10-28
近几年,区块链技术的发展非常迅猛,安全形势也越来越严峻,仅安全事件导致的直接经济损失就高达 35 亿美元,很多公司甚至因此倒闭,给行业带来了巨额的经济损失和惨痛的教训。基于此,OWASP 中国成立专门研究小组,...
GitHub 最受欢迎深度学习应用项目 Top 16
11-06
包含16个GitHub 最受欢迎深度学习应用项目,并有github开源代码链接
python学习导航.txt
05-06
python
node-v8.3.0-linux-s390x.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
owasp top 10漏洞详解
03-15
OWASP Top 10漏洞是指OWASP组织发布的Web应用程序最常见、最危险的十大漏洞。这些漏洞包括注入、认证和会话管理、跨站点脚本(XSS)、不安全的直接对象引用、安全配置错误、敏感数据泄露、缺少功能级访问控制、跨...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值