PHP
PHP安全漏洞:按严重程度
“PHP是最好的编程语言”,这是一个在技术圈广为流传的段子,甚至非技术人也听过这个段子。但是最近几年来,PHP的普及率一直在下降。2017年,PHP的安全漏洞打破了之前一直起起伏伏的趋势,数量急剧上升。
在此次调查中,PHP的安全漏洞数量在所有被调查的编程语言中排第二。
PHP安全漏洞:CWE
PHP是唯一一种具有SQL注入(CWE-89)漏洞的语言。
很多安全专家认为SQL注入漏洞应该是很久远的事情了,但是在PHP中SQL注入漏洞仍是很常见的安全漏洞,尤其是在2017年和2018年,SQL注入漏洞的数量特别高。
针对PHP安全漏洞,有人表示:“PHP语言中内置的一些设计流程和糟糕的实践,使得开发者很难编写安全代码和维护高级别的安全编码。”
Python
Python安全漏洞:按严重程度
近几年来,Python获得了飞速的发展,而且其在安全配置文件方面做得也非常不错。大多数编程语言都是到2018年才出现了安全漏洞下降的情况,但是Python的安全漏洞自2015年达到峰值,之后就一直在下降。
且Python的高严重性安全漏洞的占比也非常小。
Python安全漏洞:CWE
Python中主要存在4种类型的安全漏洞,输入验证(cwe-20)、权限、特权和访问控制(cwe-264)、跨站点脚本(xss)(cwe-79)和信息泄漏/泄漏(cwe-200)。这些安全漏洞在其它编程语言中也是非常常见的。
C++
C++安全漏洞:按严重程度
C++和C语言的安全漏洞情况差不多,由于这两种编程语言不太适用于Web应用程序开发,因为它们的安全漏洞在其它语言中不太常见。
C++安全漏洞:CWE
从上图中我们可以看到,缓冲器错误(CWE-119)是C++中最常见的安全漏洞,排在第二位的是输入验证问题(CWE-20)。
输入验证问题(CWE-20)是从2016年才开始增加的,而这一增长也侧面表明接下来安全研究人员可能会重点关注输入验证问题。 |
