NoticiasSeguridad Informática

Alarmante: el 86% de aplicaciones basadas en PHP tienen vulnerabilidades XSS

Cuatro de cada cinco aplicaciones escritas en PHP, ASP clásico y ColdFusion que fueron evaluadas por Veracode, fallaron en al menos uno del top 10 de vulnerabilidades de OWASP.

Dado la gran cantidad de aplicaciones PHP desarrolladas por los tres principales sistemas de gestión de contenidos (CMS): WordPress, Drupal y Joomla, que representan más del 70% de todos los CMS de hoy en día – estos resultados plantean una gran preocupación por posibles vulnerabilidades de seguridad en millones de sitios web.

veracode-112015

Los análisis muestran que el 86% de las aplicaciones basadas en PHP contienen al menos una vulnerabilidad Cross-Site Scripting (XSS) y el 56% presentan al menos una falla de inyección SQL (SQLi),  según Veracode. Estas tendencias de vulnerabilidad también se ven a través de otras familia de lenguajes de programación web, donde las aplicaciones escritas en ASP clásico y ColdFusion tienen casi el doble de probabilidades de contener estas fallas, en comparación con lenguajes más modernos como .NET y Java.

Alarmantes estadísticas de sitios web con vulnerabilidades graves

En el afán de las empresas de la actualización e innovación, muchas veces dejan de lado la seguridad. Empero, ahora está aumentando la presión para producir software más seguro y más rápido, una combinación que es difícil de lograr.

Según SANS, todas las empresas a cargo del soporte y desarrollo de lenguajes de programación deben tomar en cuenta 3 aspectos, si quieren evitar fallas cítricas:

Diseños predeterminados de los lenguajes para evita fallas de seguridad. Algunos lenguajes están diseñados desde el principio para evitar ciertas clases de vulnerabilidades. Por ejemplo, mediante la eliminación de la necesidad de los desarrolladores para asignar directamente la memoria, Java y .NET eliminan casi por completo las vulnerabilidades que se ocupan de la asignación de memoria (como desbordamientos de buffer).

Entornos de funcionamiento de los lenguajes. Algunas vulnerabilidades sólo son relevantes en ciertos entornos de ejecución. Por ejemplo, algunas categorías de fuga de información son más agudas en el entorno móvil.

Los Equipos de desarrollo móvil deben centrarse en el cifrado. El 87% de las aplicaciones Android y el 80% de las aplicaciones de iOS contenían temas criptográficos. Esto sugiere que, si bien los desarrolladores de aplicaciones móviles pueden ser conscientes de la necesidad de la criptografía para proteger los datos sensibles, y así utilizarlo en sus aplicaciones, pocos de ellos saben cómo ponerlo en práctica correctamente.

Si bien ningún lenguaje de programación es suficiente para garantizar la seguridad de una aplicación en un 100%, la comprensión de las fortalezas y debilidades de dicho lenguaje es importante cuando se trata de reparar alguna falla.

Este informe de Veracode recoge datos de los últimos 18 meses, a partir de más de 200.000 evaluaciones automatizadas realizadas en una amplia gama de industrias y regiones.

Si quieres leer el informe completo, puedes hacerlo aquí.

Fuente: Net Security


By: 1000 Tips Informáticos

Nuy3

Nuy3

Ingeniero en sistemas amante de la seguridad informática. Fundador del blog "1000 tips informaticos" y colaborador en importantes sitios web como "hackerss" y "aletinte"

Previous post

¿Cómo hackear el teléfono de mi marido infiel?

Next post

Déficit de expertos en ciberseguridad