Quelle est la plateforme de développement ou le langage le plus exposé aux vulnérabilités ?
Une étude de Veracode donne des éléments de réponse

Le , par Victor Vincent, Expert éminent sénior
Les résultats d’une étude de Veracode révèlent que les langages de script web PHP et ASP sont plus exposés aux vulnérabilités que les plateformes Java et .NET. La vague de vulnérabilité qui a atteint WordPress et Drupal au cours des deux dernières années, ainsi que les découvertes de vulnérabilités dans des applications permettant d’attaquer ces dernières par injection a visiblement terni l’image de leur langage de script sous-jacent. En effet, environ 86 % des applications écrites en PHP sont exposées aux attaques de type cross-site scripting et 56 % d’entre elles contiennent des bogues les rendant vulnérables aux injections SQL, selon l’étude de Veracode. Cette étude s’est intéressée à PHP, Java, Microsoft Classic ASP, .NET, iOS, Android, C, C++, JavaScript, ColdFusion, Ruby et COBOL. Elle a été effectuée en faisant des scans et de l’analyse des codes source de plus de cinquante mille applications sur le cloud.

L’étude montre également que 64 % des applications écrites en ASP Classic et 62 % de celles écrites en ColdFusion présentent des bogues les rendant vulnérables aux risques d’injection SQL. Contrairement à ces langages, l’étude montre que Java et .NET ont de bien meilleures performances avec respectivement 21 et 29 % seulement des applications présentant des vulnérabilités liées aux injections SQL. Chris Wysopal, PDG de Veracodes, estime que les problèmes de PHP favorisent les injections SQL. Chris explique en effet que certaines de ces vulnérabilités continuent d’exister du fait que les programmeurs utilisent des langages difficiles à programmer et donc qu'il est difficile de sécuriser le code de ces derniers. D’après l’étude, PHP et ASP ne disposent pas de fonctions comme Java et .NET permettant de réduire le risque d’injection SQL, de cross-site scripting et de dépassement de capacité. Verracode a également pointé du doigt les plateformes mobiles Android et iOS qui présentent des faiblesses au niveau de la cryptographie.

source : Veracode

Et vous ?

Qu'en pensez-vous ?

Voir aussi

la rubrique Débats sur le développement


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 08/12/2015 à 4:39
en quoi un langage de programmation à rapport aux injection SQL ? rien, à par la proportion de personnes qui ne vérifie pas les données avant requête dans leur programme(PDO prepare() est vôtre ami )
pourquoi voit-on plus de faille de programme sous PHP et ASP ? simplement car la proportion de site avec c'est 2 langages est bien plus importante que pour les autres non ?

Donc pour moi cette étude sert à rien mis à part déformer la réalité apportée par les chiffres pour amener à passer sous java ou .net 2 langages propriétaires
Avatar de Ducdevolpe Ducdevolpe - Membre à l'essai https://www.developpez.com
le 08/12/2015 à 8:05
Eh bien je voulais donner mon avis, mais TyranusKBX l'a tout à fait résumé :-D. +1

Il n'y a pas de rapport entre les sites mal sécurisé et sensible aux injection sql et php... Ce sont les développeurs qui ne prennent pas attention (ou alors qui ne sont absolument pas formés aux risques) à la sécurité et n'utilise pas les possibilités (comme pdo) offerte par php.
Avatar de RyzenOC RyzenOC - Membre expert https://www.developpez.com
le 08/12/2015 à 8:43
Les langages les moins sécurisé je pense que c'est les langages bas niveau (C, C++ par exemple), car il plus facile pour un pirate de corrompre la mémoire.
Avatar de pschiit pschiit - Membre actif https://www.developpez.com
le 08/12/2015 à 9:48
Je ne sais pas si c'est parcequ'un site est développé en ASP classic qu'il est plus vulnérable, ou si c'est parceque c'est un vieux site fait à une époque où on se souciait moins de ce genre de problématique...
Avatar de MikeRowSoft MikeRowSoft - Provisoirement toléré https://www.developpez.com
le 08/12/2015 à 9:55
C'est une peu comme s'habiller et se rendre compte qu'il fait froid ou que la tenu est souvent indicatrice d'un lieu géographique.

PHP en tous cas sa m'étonne, puisque les droits utilisateurs associé sont souvent celui d'un utilisateur donnant par "héritage" ses droits à une application, SQL ayant lui aussi des droits, mais pas souvent relié aux états de services des entreprises, puisque très souvent c'est le même utilisateur qui manipule les bases de données pour toute une catégorie d'employé.
Avatar de Luckyluke34 Luckyluke34 - Membre émérite https://www.developpez.com
le 08/12/2015 à 9:55
Citation Envoyé par Victor Vincent  Voir le message
Quelle est la plateforme de développement ou le langage le plus exposé aux vulnérabilités ?

Tiens, c'est déjà Trolldi ?
Avatar de tomlev tomlev - Rédacteur/Modérateur https://www.developpez.com
le 08/12/2015 à 9:58
Citation Envoyé par Victor Vincent  Voir le message
L’étude montre également que 64 % des applications écrites en ASP Classic et 62 % de celles écrites en ColdFusion présentent des bogues les rendant vulnérables aux risques d’injection SQL.

Oui enfin des apps en ASP classique ou ColdFusion, il doit pas en rester des masses

Citation Envoyé par Victor Vincent  Voir le message
D’après l’étude, PHP et ASP ne disposent pas de fonctions comme Java et .NET

PHP (et probablement ASP aussi) dispose bien de telles fonctions, mais comme c'est historiquement un langage de bidouilleurs et de débutants (historiquement, pas exclusivement... fans de PHP, ne montez pas sur vos grands chevaux ), beaucoup de développeurs n'ont pas pris l'habitude de les utiliser.

Citation Envoyé par TiranusKBX  Voir le message
pourquoi voit-on plus de faille de programme sous PHP et ASP ? simplement car la proportion de site avec c'est 2 langages est bien plus importante que pour les autres non ?

Pour PHP OK, mais ASP ça m'étonnerait qu'il en reste beaucoup. Et de toute façon on parle de proportion de sites vulnérables pour chaque techno, donc le nombre de sites utilisant ces technos ne change rien à l'affaire.

Citation Envoyé par TiranusKBX  Voir le message
Donc pour moi cette étude sert à rien mis à part déformer la réalité apportée par les chiffres pour amener à passer sous java ou .net 2 langages propriétaires

Java n'est pas vraiment propriétaire (du moins il en existe une implémentation open-source: OpenJDK)
Et .NET n'est pas un langage mais une plateforme. Le langage C# est open-source depuis 1 an et demi, et l'implémentation cross-platform de .NET (.NET Core et CoreCLR, actuellement en RC) est également open-source.

Bref, ta théorie de la conspiration pour amener les gens à des langages propriétaires me semble un peu bancale...
Avatar de youtpout978 youtpout978 - Membre expert https://www.developpez.com
le 08/12/2015 à 10:05
Citation Envoyé par TiranusKBX  Voir le message
en quoi un langage de programmation à rapport aux injection SQL ? rien, à par la proportion de personnes qui ne vérifie pas les données avant requête dans leur programme(PDO prepare() est vôtre ami )
pourquoi voit-on plus de faille de programme sous PHP et ASP ? simplement car la proportion de site avec c'est 2 langages est bien plus importante que pour les autres non ?

Donc pour moi cette étude sert à rien mis à part déformer la réalité apportée par les chiffres pour amener à passer sous java ou .net 2 langages propriétaires

Parce que je crois que d'office tu as des outils implémentés dans ces langages pour éviter les injections, t'aura beau écrire un code vulnérable au Injection ou autre faille de sécurité quand tu en tentera une le framework l'interceptera et te renverra un joli message d'erreur (j'avais testé en Asp.Net de faire une injection j'ai eu une jolie erreur), après corrigé moi si je me trompe.
Avatar de Luckyluke34 Luckyluke34 - Membre émérite https://www.developpez.com
le 08/12/2015 à 10:31
Citation Envoyé par youtpout978  Voir le message
t'aura beau écrire un code vulnérable au Injection ou autre faille de sécurité quand tu en tentera une le framework l'interceptera et te renverra un joli message d'erreur (j'avais testé en Asp.Net de faire une injection j'ai eu une jolie erreur), après corrigé moi si je me trompe.

Non, c'est bien ça. Par contre, est-ce que ça peut compter dans les critères qui font "qu'une plateforme est exposée aux vulnérabilités" ? En tout cas, ça ne doit pas dispenser les développeurs de concevoir sérieusement la sécurité de leurs applications quelle que soit la plateforme.
Avatar de Sergeobee Sergeobee - Futur Membre du Club https://www.developpez.com
le 08/12/2015 à 11:04
Chacun peut faire ses études hein...

Bref, la sécurité des langages est d'abord le fait de l'utilisation du programmeur et des éléments autour (navigateur, serveur, etc.).
Et tant que Facebook sera programmé en PHP* (je rappelle juste que c'est l'une des plus "grandes" applications grand public du monde mettant en exergue l'interaction avec une base de données), il faudra qu'on me passe sur le corps pour m'inciter à abandonner le PHP.

Par ailleurs, qui a financé cette étude?
Si j'émets l'hypothèse selon laquelle, Veracode sachant qu'il y a plus 3 fois plus d'applications en PHP (ASP) que tous les autres réunis publiés sur le web, voudrait inciter les développeurs à sécuriser leurs applications chez eux, je me trompe? Une hypothèse hein

(*): http://www.developpez.com/actu/69143...rs-nouveautes/
Offres d'emploi IT
Urbaniste des systèmes d'information H/F
Safran - Ile de France - Évry (89140)
ARCHITECTE CONTINUITE NUMERIQUE - Expert PLM H/F
Safran - Ile de France - Évry (91090)
Ingénieur support fonctionnel DELMIA Apriso H/F
Safran - Ile de France - Évry (91090)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil