7 dic. 2015

Las aplicaciones PHP y ASP tienen más vulnerabilidades [Veracode]

Según el nuevo informe de Veracode "State of Software Security" [Parte 1, 2], los lenguajes de programación PHP, ASP clásico tienen más vulnerabilidades que las plataformas de programación Java y .NET. El estudio se centró en aplicaciones escritas en los lenguajes de programación más generalizados como PHP, Java, ASP clásico Microsoft .NET, iOS, C y C++, JavaScript, ColdFusion, Ruby y COBOL. Los datos se basan en su análisis en la nube y el análisis de código de más de 50.000 aplicaciones en los últimos 18 meses.

Según el estudio, el 86% de aplicaciones escritas en PHP contiene al menos una vulnerabilidad de XSS y el 56% tiene al menos un fallo de inyección SQL. Un 64% de aplicaciones escritas en ASP clásico y el 62% escritas en ColdFusion tenían al menos un bug de inyección SQL. Java y .NET tenían menos fallas de seguridad en sus aplicaciones: se encontraron 29% de las aplicaciones en .NET y 21% en JAVA con al menos un bug de inyección SQL.

Chris Wysopal, fundador y CTO de Veracode, dice que "Siempre sospeché que estos lenguajes son peores... Ahora tenemos datos sólidos para mostrar que tenemos el dobel de problemas serios en estos lengiajes de programación". Se trata de cómo están diseñados estos lenguajes de programación y su forma de uso. Mientras que Java y .NET tienen funciones integradas para reducir el riesgo de ataques, PHP y ASP no están tan bien equipados y tienen menos APIs de seguridad. Por ejemplo, tradicionalmente ha sido difícil escribir aplicaciones en PHP para concatenar parámetros en consultas SQL, lo que lo hace más propenso a fallos de inyección SQL.
"Es más difícil programar seguro en estos lenguajes de scripting. No hay tantas funciones de seguridad integradas y por lo general .NET y Java son utilizados por graduados de ciencias que aprendieron estos lenguajes en la escuela. En cambio, los lenguajes de scripting como PHP, ColdFusion y ASP surgieron del mundo de desarrollo web, donde un diseñador de sitios comenzó a aprender programación para hacer sus sitios web más interactivos".

Estas lenguas tampoco cumplen el OWASP Top 10: cuatro de cada cinco aplicaciones escritas en PHP, ASP clásico y ColdFusion fallaron por lo menos en uno de los puntos de referencia del estándar de seguridad de aplicaciones. Veracode señala que esto tiene un gran impacto en la red, ya que un 70% de la gestión de contenidos está basada en WordPress, Drupal y Joomla, sobre PHP. Así que "las organizaciones que desean utilizar estos CMSes deben planificar cuidadosamente sus despliegues".

La ola de advertencias sobre vulnerabilidades en WordPress y Drupal así como el incesante descubrimiento de fallos de inyección SQL en aplicaciones Web, en realidad se remonta al lenguaje PHP subyacente. "Si me pongo mi sombrero de atacante y quiero entrar en un sitio, voy a encontrar sitios PHP" dice Wysopal.

"Los desarrolladores están básicamente pegados al lenguaje y plataforma que elige la organización. No es frecuente que un desarrollador pueda seleccionar un lenguaje seguro. Están limitados por el medio, el negocio y el lenguaje para construir sus aplicaciones".

Veracode también estudió las tasas de corrección de vulnerabilidades, que mostró una mejora del 30% en aquellas organizaciones que emplean el entrenamiento en codificación segura para sus desarrolladores.

Con respecto a las aplicaciones móviles, Veracode encontró muy poca diferencia entra las aplicaciones de Android y iOS sobre todo con respecto a debilidades criptográficas: se encontraron errores en un 87% de aplicaciones Android y 81% de apps de iOS.

Wysopal dice que hay cuatro temas relacionados a criptografía: entropía insuficiente o baja aleatoriedad; no comprobar certificados SSL; no cifrar información sensible en el disco; y el uso de algoritmos de cifrado obsoletos. "Los desarrolladores no entienden cómo escribir correctamente critografía", dice.

Fuente: Dark Reading

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!