最新發(fā)布的2014年白帽web安全統(tǒng)計(jì)報(bào)告顯示�,接受抽樣調(diào)查的3萬個(gè)網(wǎng)站中�����,28%的網(wǎng)站采用了微軟的.NET開發(fā)平臺(tái)�����,其次是Java(25%)和ASP(16%)。
負(fù)責(zé)撰寫報(bào)告的首席研究員Gabriel Gumbs指出:
沒有哪一種開發(fā)語言或平臺(tái)有著明顯的安全性優(yōu)勢�����,從漏洞數(shù)量來看�,大量網(wǎng)站使用的不同的開發(fā)語言之間并沒有太大的差異。
從報(bào)告統(tǒng)計(jì)的開發(fā)語言的漏洞數(shù)量來看���,.NET網(wǎng)站平均有11.36個(gè)漏洞���,Java11.32個(gè)排第二����,其后依次是ASP 10.98個(gè),Perl7個(gè)��,ColdFusion6個(gè)����。幾個(gè)主要開發(fā)平臺(tái)的漏洞數(shù)量基本處于同一個(gè)數(shù)量級(jí)。
報(bào)告顯示����,2014年來最流行的web安全漏洞是跨站腳本(去年該漏洞一度將第一的寶座讓給信息泄露)��,其余四個(gè)Top5漏洞分別是信息泄露��、內(nèi)容欺騙����、HTTP響應(yīng)頭截?cái)啵℉TTPresponse splitting)和可預(yù)測資源分配(predictable resource allocation)����。
報(bào)告還指出,雖然網(wǎng)站運(yùn)營者在修補(bǔ)漏洞這個(gè)環(huán)節(jié)上的速度已經(jīng)得到提升�����,全球的網(wǎng)站安全總體上并未得到改善����。新的web應(yīng)用的安全性相比過去幾年也并未有任何提升,但是相比日益突飛猛進(jìn)的黑客攻擊技術(shù)���,web安全實(shí)際是“不進(jìn)則退”��。
提供應(yīng)用安全云檢測服務(wù)的安全公司Veracode的副總裁Chris Eng認(rèn)為2014年度的白帽網(wǎng)站安全統(tǒng)計(jì)報(bào)告基本靠譜���,與Veracode的數(shù)據(jù)統(tǒng)計(jì)基本吻合�。
白帽web報(bào)告最后指出���,開發(fā)者不會(huì)根據(jù)安全性來選擇開發(fā)語言�,安全性目前只在開發(fā)平臺(tái)選擇因素中排名第五至第六位��。
安全牛點(diǎn)評:web應(yīng)用安全停滯不前的根源不在開發(fā)平臺(tái)的安全性�����,而是因?yàn)槠髽I(yè)的一把手們?nèi)鄙侔踩庾R(shí)和安全策略���。企業(yè)在應(yīng)用開發(fā)安全環(huán)節(jié)普遍短視���,類似攜程暴露的“低級(jí)”安全漏洞往往是因?yàn)槠髽I(yè)的技術(shù)決策者只關(guān)注軟件功能��、ROI和項(xiàng)目開發(fā)周期��,他們在開發(fā)者安全開發(fā)培訓(xùn)上投入很少��,而且往往沒有部署系統(tǒng)的軟件開發(fā)政策����,也很少有企業(yè)會(huì)對軟件開發(fā)進(jìn)行安全審計(jì)����,遵從PCI這樣的行業(yè)標(biāo)準(zhǔn)��。這種短視的軟件開發(fā)價(jià)值觀最終可能給企業(yè)埋下重大信息安全隱患����,并最終以品牌和業(yè)務(wù)的巨大損失作為代價(jià)。
點(diǎn)擊下面鏈接下載完整的2014年白帽web安全報(bào)告:
