بحث جديد أظهر لغات البرمجة “Scripting Languages” ، والتي تسببت في وجود ثغرات أمنية كثيرة في تطبيقات الويب، الأمر الذي أثار الكثير من المخاوف بسبب وجود هذه الثغرات الأمنية بملايين المواقع على شبكة الانترنت.

قامت شركة Veracode المتخصصة بأمن المعلومات بإصدار تقريرها بشأن الحالة الأمنية الخاصة بالعديد من البرمجيات وبشكل خاصة يركز التقرير على تطوير التطبيقات، تحليل أكثر من 200.000 تطبيق بشكل منفصل بداية من شهر 1 – 2013 وحتى 31 مارس 2015.

الباحثون الأمنيون قاموا بفحص مئات الآلاف من التطبيقات المبنية بلغات البرمجة التالية PHP, Java, JavaScript, Ruby, .NET, C and C++, Microsoft Classic ASP, Android, iOS و COBOL، في عملية استغرقت 18 شهراً.

وجد الباحثين أن لغة PHP واللغة التي تليها شعبية Classic ASP و أخيراً ColFusion هم أخطر لغات البرمجة على شبكة الانترنت، بينما جاءت لغة Java, .NET هي الأكثر أماناً.


وإليكم قائمة بها أكثر عشر لغات برمجة تحوي على ثغرات أمنية:ـ

التقرير البحثي الذي قدمته شركة Veracode استخدم مقياس فريد من نوعه يسمى Flaw Density per MB، والذي يعني عدد الثغرات الأمنية الموجودة بكل ميجابايت من الكود المصدري Source Code.

578789585656785768

(Classic ASP – 1,686 flaws/MB (1,112 critical
(ColdFusion – 262 flaws/MB (227 critical
(PHP – 184 flaws/MB (47 critical
(Java – 51 flaws/MB (5.2 critical
(NET – 32 flaws/MB (9.7 critical
(C++ – 26 flaws/MB (8.8 critical
(iOS – 23 flaws/MB (0.9 critical
(Android – 11 flaws/MB (0.4 critical
(JavaScript – 8 flaws/MB (0.09 critical

لماذا لغة PHP هي أكثر لغات البرمجة من حيث الإصابة بالثغرات؟

حسناً لنأخذ نظرة أكثر قرباً من لغة PHP.

* 86% من التطبيقات المكتوبة بلغة PHP بها على الأقل ثغرة واحدة من نوع cross-site scripting (xss).
* 56% من التطبيقات التي يدرج بها SQLi يوجد بها ثغرات حقن (SQL injection)، وهي واحدة من أخطر الثغرات وأسهلها استغلالاً.
* 67% من التطبيقات تسمح بعمل Directory Traversal.
* 61% من التطبيقات تسمح بعمل code injection.
* 58% من التطبيقات تحتوي على العديد من المشاكل فيما يخص إدارة الصلاحيات.
* 73% من التطبيقات بها مشاكل بالتشفير.
* 50% يسمح تسريب بيانات ومعلومات هامة.

ومن الثغرات المذكورة بالأعلى ثغرة SQLi , XSS والذين يأتوا من بين أخطر عشرة ثغرات أمنية وذلك طبقاً لمشروع أمن تطبيقات الويب الخاص بشركة (OWASP).

Screenshot-3

ثغرات الـ SQL injection – تسمح للهكر بالتعامل المباشر مع قاعدة بيانات الموقع ـ وهي واحدة من الثغرات التي تسببت بعمليات اختراق كبيرة.

جدير بالذكر أن أقل من ربع التطبيقات التي كتبت بلغة الجافا تحتوي على ثغرات حقن SQL injection، وذلك بالمقارنة مع 3/4 من التطبيقات المكتوبة بواسطة الـ PHP.

للمزيد من المعلومات الأكثر تفصيلاً، يمكنكم تحميل التقرير من هنا.