最新發(fā)布的2014年白帽web安全統(tǒng)計報告顯示����,接受抽樣調(diào)查的3萬個網(wǎng)站中,28%的網(wǎng)站采用了微軟的.NET開發(fā)平臺,其次是Java(25%)和ASP(16%)�。
負責撰寫報告的首席研究員Gabriel Gumbs指出:
沒有哪一種開發(fā)語言或平臺有著明顯的安全性優(yōu)勢��,從漏洞數(shù)量來看�,大量網(wǎng)站使用的不同的開發(fā)語言之間并沒有太大的差異。
從報告統(tǒng)計的開發(fā)語言的漏洞數(shù)量來看�,.NET網(wǎng)站平均有11.36個漏洞,Java11.32個排第二�,其后依次是ASP 10.98個,Perl7個�,ColdFusion6個。幾個主要開發(fā)平臺的漏洞數(shù)量基本處于同一個數(shù)量級���。
報告顯示����,2014年來最流行的web安全漏洞是跨站腳本(去年該漏洞一度將第一的寶座讓給信息泄露)�,其余四個Top5漏洞分別是信息泄露�、內(nèi)容欺騙、HTTP響應頭截斷(HTTPresponse splitting)和可預測資源分配(predictable resource allocation)��。
報告還指出,雖然網(wǎng)站運營者在修補漏洞這個環(huán)節(jié)上的速度已經(jīng)得到提升�,全球的網(wǎng)站安全總體上并未得到改善。新的web應用的安全性相比過去幾年也并未有任何提升�����,但是相比日益突飛猛進的黑客攻擊技術���,web安全實際是“不進則退”�����。
提供應用安全云檢測服務的安全公司Veracode的副總裁Chris Eng認為2014年度的白帽網(wǎng)站安全統(tǒng)計報告基本靠譜��,與Veracode的數(shù)據(jù)統(tǒng)計基本吻合����。
白帽web報告最后指出�,開發(fā)者不會根據(jù)安全性來選擇開發(fā)語言,安全性目前只在開發(fā)平臺選擇因素中排名第五至第六位�����。
安全牛點評:web應用安全停滯不前的根源不在開發(fā)平臺的安全性��,而是因為企業(yè)的一把手們?nèi)鄙侔踩庾R和安全策略。企業(yè)在應用開發(fā)安全環(huán)節(jié)普遍短視��,類似攜程暴露的“低級”安全漏洞往往是因為企業(yè)的技術決策者只關注軟件功能����、ROI和項目開發(fā)周期,他們在開發(fā)者安全開發(fā)培訓上投入很少��,而且往往沒有部署系統(tǒng)的軟件開發(fā)政策��,也很少有企業(yè)會對軟件開發(fā)進行安全審計���,遵從PCI這樣的行業(yè)標準�����。這種短視的軟件開發(fā)價值觀最終可能給企業(yè)埋下重大信息安全隱患�,并最終以品牌和業(yè)務的巨大損失作為代價�。
點擊下面鏈接下載完整的2014年白帽web安全報告:
