sexta-feira, 4 de dezembro de 2015

Infosec Linguagens de scripting Web oferecer falhas XSSive

Foram encontrados menos vulnerabilidades comuns nas aplicações Java do que aqueles codificada utilizando linguagem de scripts web. Menos de um quarto dos aplicativos Java ostentar vulnerabilidades de injeção SQL, em comparação com mais de três quartos das escrito em PHP. É o que diz o novo relatório State of Software Security.

Correções de bugs de segurança para o Chrome no Linux de 32 bits tem data para acabar segundo Google.

A pesquisa se arrastou por línguas, incluindo PHP, Java, JavaScript, Ruby, Microsoft ASP clássico, .NET, C e C ++, iOS, Android, e COBOL, com digitalização de 50.000 aplicações ao longo dos últimos 18 meses.

Ele encontrou aplicações PHP que saíram pior do que tudo, com 86 por cento SQLi, uma das vulnerabilidades de aplicativos Web perigosas e fáceis de explorar. Mais da metade desses aplicativos também contêm buracos cross-site scripting, o outras irritantes falhas de segurança web.

Cerca de dois terços dos aplicativos ASP contêm vulnerabilidades SQLi, com a surpresa, ColdFusion que vem logo atrás com 62 por cento dos pedidos que gozem de bugs.


Gráfico de linguagens

Pior, 80 por cento dos aplicativos escritos em PHP, ASP, ou ColdFusion foi reprovado em testes de segurança do jardim de infância que ostentam um dos benchmarks Top Ten de qualidade do Projeto Open Web Application Security codificação.

O Top Ten é sustentado como o controle que mede a declaração padrão "Nós levamos a segurança a sério".


Cerca de 87 por cento dos aplicativos Android têm problemas de implementação de criptografia enquanto 90 por cento têm problemas de qualidade de código, mais do que qualquer outra língua estudada.


"Quando as organizações estão começando novos projetos de desenvolvimento e seleção de linguagens e metodologias, a equipe de segurança tem a oportunidade de antecipar os tipos de vulnerabilidades que possam surgir e a melhor forma de avaliar para eles", diz o chefe de segurança Veracode Chris Wysopal.

"Os dados deste relatório pode informar as decisões em torno de seleção de idioma, desenvolvedor de formação e que as técnicas de avaliação a utilizar, a fim de tornar o processo de remediação inevitável menos onerosa.

"Esta informação pode tornar mais fácil para a segurança trabalhar com desenvolvimento para aumentar a maturidade da segurança no ciclo de vida de desenvolvimento de software e produzir aplicações de menor risco."

Lendo um livro a segurança do aplicativo ou fazer um curso irá reforçar as costeletas infosec de um desenvolvedor por cerca de um terço, no entanto.