Veracode查找大多数Web应用程序失败OWASP安全检查列表 苏格兰政府获取当地选举的电子投票制度 AWS借鉴了赢得企业的启动诉求 政府探索Altnet基金并查找移动宽带的现金 Dvla Technology Hegion的Dvla Technology首席说“完成”,返回中心 在寻找数字培训和支持供应商的GDS上 IT安全预测2016年澳大利亚组织 在新的AWS价格削减之后,微软将Azure成本降至17%。 基于智能手机的英国银行获得额外的4800万英镑的支持 城市大学伦敦虚拟电话和联络中心系统 美国区律师要求访问加密智能手机数据 个性化可以帮助客户原谅不良品牌体验 俄罗斯的闪光和虚拟机存储 警察欺诈单位表示,英国网络欺诈21% 移动频谱共享飞行员在法国开始 SSE网络扩展支持以太网服务增长 澳大利亚首相Malcolm Turnbull呼叫免费,开放和安全的互联网 AirWave使U-TONG达到紧急网络禁令 拒绝云的广告代理可以增强缩放文件 Devops成功需要商业和文化转变 TUI开发应用程序,全年与Holidaymaker保持联系 事情的互联网将是2016年的东盟亮点之一 451研究突出了采用多元提供商云的成本效益 Gartner说,企业物联网项目将昂贵,冗长和脆弱 CIO采访:Paul Haley,Cio,城市大学伦敦 HPE与欧洲广泛的云服务目录一起生活 欧洲办公室365和Microsoft Azure用户通过服务中断击中 英联邦银行澳大利亚合作伙伴新南威尔士网络安全 新加坡领导东盟智能城市推动 Sigfox将物联网带到南极洲 RAC向IT外包交易后向Microsoft Azure注册 威尔士的GP患者将于2017年获得医疗记录 补贴卫星宽带以填充BDUK连接差距 违反欧盟数据法大修的最大影响的违约通知说法 2015年的十大存储和虚拟化故事 2015年IT故事中十大女性 国家推出普遍信用数字服务于2016年5月开始 Gartner:它在2016年的成长只增长0.6% 政府呼吁行业发展英国数字战略 2015年前10台PC和桌面故事 俄罗斯大数据在早期阶段 Broundium帮助它检查插件 2016年荣誉名单上的IT先驱 HMRC创建13个区域中心,以支持数字服务 Vaizey说,政府和行业必须在合作伙伴关系中解决网络安全 公司可以监控员工的在线聊天,欧盟法院规则 英国警方对网络犯罪服务现场进行两次逮捕 法律专家说,欧盟数据保护规则会影响每个人 Atos在欧洲的ICTroMentre翻新项目推动 并非所有英国消费者都会放弃数据违规网站
您的位置:首页 >程序人生 >

Veracode查找大多数Web应用程序失败OWASP安全检查列表

根据Veracode的报告,由流行的Web脚本语言中写入的五种应用中的五种应用中的至少一个包含行业标准安全基准中的严重风险之一。

Veracode的分析表明,86%的基于PHP的应用程序包含至少一个跨站点脚本(XSS)漏洞,56%具有至少一个SQL注入(SQLI)漏洞。

XSS和SQLI是TheOpen Web应用程序安全项目(OWASP)标识的前10名最关键的Web应用程序安全风险之一。

根据2015年软件安全报告的2015年,根据数百万个网站,调查结果提高了对数百万个网站的潜在安全漏洞。

根据代码分析公司,风险的大小由为前三个内容管理系统(CMS) - WordPress,Drupal和Joomla开发的PHP应用程序增加 - 代表CMS市场的70%以上。

这些漏洞趋势也在更广泛的WEB脚本语言中看到,其中经典ASP和ColdFusion的应用程序与诸如.NET和Java等现代语言相比,含有这些缺陷的可能性几乎是含有这些缺陷的可能性。

Veracode的基于云的平台已经评估了超过一条数量的代码,可用于可能导致大规模泄露的关键漏洞。

2015年报告捕获在过去18个月内收集的数据,从200,000多个为Veracode客户跨越一系列行业和地理位置而进行的自动评估。

随着企业转移到连续交付和其他Devops创新,压力正在安装以更快地生产更安全的软件。然而,根据SANS学院的说法,不到26%的组织曾授权,正在进行安全的编码教育计划。

通过编程语言类型组织,Veracode对2015年软件安全报告的补充旨在帮助组织申请开发计划,以及优先考虑评估和修复活动。

补充报告发现,在安全方面,语言的设计很重要。

报告指出,某些语言是从头开始设计的,以避免某些漏洞类。例如,通过删除开发人员直接分配内存,Java和.NET的需求消除了处理内存分配的几乎完全漏洞(例如缓冲区溢出)。同样,某些ASP.NET控件的默认行为避免了与跨站点脚本相关的常见问题。

补充报告发现语言的操作环境也对安全性也很重要。

某些漏洞仅在某些执行环境中相关。例如,移动环境中的一些类别泄漏是最敏锐的,它将大量的个人数据与普通的通用网络能力相结合。

补充报告的另一个关键发现是移动开发项目团队需要专注于加密。

Veracode的分析发现,87%的Android应用程序和80%的IOS应用程序包含了加密问题。该报告表示,这表明,虽然移动应用程序开发人员可能意识到加密需要保护敏感数据并因此在其应用程序中使用它,但其中很少有人知道如何正确实现它。报告称,鉴于医疗保健行业的快速采用移动应用,这尤其涉及。

“当组织开始新的开发项目并选择语言和方法时,安全团队有机会预测可能出现的漏洞类型以及如何最好地评估它们,”维萨科博尔德首席信息安全官员表示首席技术官。

“本报告中的数据可以通过语言选择,开发人员培训以及用于使不可避免的补救过程的评估技术迅速地通知决策,”他说。

Veracode表示,该数据还表明通过电子学习服务的开发人员教育对降低应用层风险有很大影响。

据该公司,使用Veracode的电子学习服务的开发组织将其代码的安全性提高了30%,而没有正式教育计划。

Veracode的报告基于来自Veracode的基于云的平台的不断更新的信息,其中数据来自跨一系列行业和地理位置的数十亿个代码的实际代码分析。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。