Theo nghiên cứu của các chuyên gia bảo mật ngôn ngữ lập trình kịch bản (Scripting language) là nguyên nhân dẫn đến ngày một nhiều lỗ bảo mật trong ứng dụng web, dấy lên làn sóng quan tâm về các lỗ hổng tiềm tàng trong hàng triệu website.
Một công ty chuyên về bảo mật đã thực hiện một nghiên cứu để phân tích hơn 200.000 ứng dụng khác nhau để phân tích thực trạng an toàn phần mềm, phân loại dựa theo các ngôn ngữ lập trình web phổ biến hiện nay như PHP, Java, JavaScript, Ruby, .NET, C và C++, Microsoft Classic ASP, Android, iOS, và COBOL.
Theo báo cáo, độ phổ biến của PHP thấp hơn Classic ASP và ColdFusion nhưng lại có rủi ro cao nhất trên Internet – so sánh với Java và .Net là hai ngôn ngữ an toàn nhất. Báo cáo của Veracode sử dụng một thước đo rất độc đáo: mật độ lỗ hổng trên mỗi megabyte.
- Classic ASP – 1,686 lỗ hổng/MB
- ColdFusion – 262 lỗ hổng/MB
- PHP – 184 lỗ hổng/MB
- Java – 51 lỗ hổng/MB
- .NET – 32 lỗ hổng/MB
- C++ – 26 lỗ hổng/MB
- iOS – 23 lỗ hổng/MB
- Android – 11 lỗ hổng/MB
- JavaScript – 8 lỗ hổng/MB
- PHP đứng thứ ba, nhưng thực chất dẫn đầu do lỗ hổng ColdFusion là một công cụ ít được biết đến và Classic ASP gần như không còn tồn tại.
Bạn đang tìm hiểu về ngành an toàn thông tin Xem bài viết: Chuyên ngành an toàn thông tin cơ hội và việc làm
Hiểu rõ hơn về PHP qua các thống kê dưới đây từ nhóm chuyên gia:
86% ứng dụng viết bằng PHP chứa ít nhất một lỗ hổng cross-site scripting (XSS).
56% ứng dụng chứa SQLi (SQL injection) – là một trong những lỗ hổng nguy hiểm nhất và rất dễ khai thác.
67% ứng dụng cho phép duyệt chỉ mục (directory traversal).
61% ứng dụng cho phép code injection.
58% ứng dụng có vấn đề về quản lý ủy quyền
73% ứng dụng chứa vấn đề về mã hóa
50% có thể rò rỉ thông tin.
Theo đó SQLi và XSS là hai lỗ hổng phổ biến nguy hiểm nhất đối với ứng dụng web theo Open Web Application Security Project (OWASP).
ĐỌC THÊM: 7 công cụ mã nguồn mở giúp tìm kiếm lỗ hổng website
Tổng hợp: Thehackernews