據國外最新的調查研究顯示，腳本語言雖然應用面很廣，但也帶來了為數不少的Web應用潛在的安全漏洞，給數以百萬計的網站增加了安全隱患。

　　據 應用安全公司Veracode近日公布的一項報告‘國家軟件安全報告：關注應用開發（State of Software Security: Focus on Application Development ）’稱，該公司自2013年10月1日起至2015年3月31日分析研究了超過20萬款應用程序。

　　該公司安全研究人員分析的網絡流行腳本語言包括：PHP，Java，Java，Ruby，NET，C，C++，Microsoft Classic ASP，Android，iOS，以及COBOL，他們在18個月內分析了這幾種語言的二十萬應用程序。

　　研究人員發現PHP——以及不那么受歡迎的經典網絡開發語言ASP 和ColdFusion——為最危險的網絡編程語言，而Java與.NET是最安全的兩大語言。

　　以下是前十名列表：

　　Veracode研究報告使用了一個獨特的度量單位：漏洞密度/MB，意味著在源代碼中每MB數據中所含的安全漏洞數量。

　　下面列出來的是那些不太幸運的獲勝者：

　　Classic ASP1,686 漏洞/MB (1,112致命漏洞)ColdFusion262 漏洞/MB (227 致命漏洞)PHP184 漏洞/MB (47 致命漏洞)Java51 漏洞/MB (5.2 致命漏洞)NET32 漏洞/MB (9.7 致命漏洞)C++26 漏洞/MB (8.8 致命漏洞)iOS23 漏洞/MB (0.9 致命漏洞)Android11 漏洞/MB (0.4 致命漏洞)Java8 漏洞/MB (0.09 致命漏洞)

　　網絡應用中PHP被認為是最危險的編程語言，因為：

　　PHP雖位列第三，但實際上應當被認為是最易出現漏洞的語言，因為ColdFusion 是一個高端的小眾工具，而經典的ASP幾乎已經沒有什么人使用了。

　　讓我們仔細分析一下，對于PHP來說：

　　86% 的PHP應用程序至少包含一個跨站腳本（XSS）漏洞；

　　56% 的app中包含SQLi（SQL注入），著名的也是非常危險且易被利用的web應用漏洞之一；

　　67% 的app允許目錄遍歷；

　　61% 的app允許代碼注入；

　　58% 的app在憑證管理方面有問題；

　　73% 的app存在加密問題；

　　50% 的app允許信息泄露。

　　在上面的問題中，SQLi與XSS是OWASP前十的最危險網絡應用程序安全漏洞。

　　SQL注入漏洞——允許黑客與網站數據庫直接交互——也是之前著名的兒童玩具廠商VTech 與英國最大的電信公司TalkTalk大量數據泄露的罪魁禍首。

　　據報道，上述的漏洞的風險大小也可以根據PHP應用開發的Top 3 CMS (內容管理系統)來測量– WordPress, Drupal 以及Joomla – 代表了超過70%的CMS市場。

　　謹慎選擇腳本語言

　　少于四分之一的Java app中存在SQL注入漏洞，而剩下的超過四分之三的含SQL注入漏洞的應用都是以PHP編寫的。

　　“當企業進行一項新的項目開發與選擇語言和方法論的時候，安全小組有機會預測各種類型漏洞的發生幾率以及如何測試它們并最終選擇一個對于他們來說最適合的語言。”Veracode的首席技術官Chris Wysopal建議。

　　[本文翻譯自Softpedia，轉載請注明來自威客安全（secwk.com）]