Top 10 ngôn ngữ lập trình dễ bị khai thác lỗ hổng

Một nghiên cứu mới cho thấy các ngôn ngữ lập trình kịch bản (Scripting language) là nguyên nhân dẫn đến ngày một nhiều lỗ bảo mật trong ứng dụng web, dấy lên làn sóng quan tâm về các lỗ hổng tiềm tàng trong hàng triệu website.

Công ty bảo mật Veracode đã đăng tải một báo cáo về "Thực trạng an toàn phần mềm: Tập trung vào phát triển ứng dụng", phân tích hơn 200,000 ứng dụng khác nhau từ 1/10/2013 đến 31/3/2015. Các nhà nghiên cứu đã thực hiện phân loại dựa theo các ngôn ngữ lập trình web phổ biến hiện nay như PHP, Java, JavaScript, Ruby, .Net, C và C++. Microsoft Classic ASP, Android, IOS, và Cobol.

Theo báo cáo, đổ phổ biến của PHP thấp hơn Classic ASP và ColdFusio - nhưng có rủi ro cao nhất trên internet - so sánh với java và .Net là 2 ngôn ngữ an toàn nhất. Báo cáo của Veracode sử dụng một thước đo rất độc đáo: mật độ lỗ hổng trên mỗi megabyte (số lượng lỗ hổng bảo mật trên mỗi MB mã nguồn).

+ Classic ASP - 1,686 lỗ hổng/MB
+ ColdFusion - 262 lỗ hổng/MB
+ PHP - 184 lỗ hổng/MB
+ Java - 51 lỗ hổng/MB
+ .Net - 32 lỗ hổng/MB
+ C++ - 26 lỗ hổng/MB
+ IOS - 23 lỗ hổng/MB
+ Android - 11 lỗ hổng/MB
+ JavaScript - 8 lỗ hổng/MB

PHP đứng thứ 3, nhưng thực chất dẫn đầu do lỗ hổng ColdFusion là một công cụ ít được biết đến và Classic ASP gần như không còn tồn tại.

Một số thống kê sau sẽ cho ta thấy rõ hơn về PHP:

+ 86% ứng dụng viết bằng PHP chứa ít nhất một lỗ hổng cross-site scripting (XSS).
+ 56% ứng dụng chứa SQLi (SQL injection) - là một trong những lỗ hổng nguy hiểm nhất và rất dễ khai thác.
+ 67% ứng dụng cho phép duyệt chỉ mục (directory travelsal).
+ 61% ứng dụng cho phép code injection.
+ 58% ứng dụng có vấn đề về quản lý ủy quyền.
+ 73% ứng dụng chứa vấn đề mã hóa.
+ 50% có thể rò rỉ thông tin.

Theo đó SQLi và XSS là hai lỗ hổng phổ biến nguy hiểm nhất đối với ứng dụng web theo Open Web Appication Security Project (OWASP).