PHP sigue siendo una de las principales fuentes de muchos errores de seguridad
Con una enorme base de fans y usado en innumerables aplicaciones y sitios web en Internet, PHP está clasificado como el peor cuando se trata de errores de inyección de comandos, pero también se acercó a la cima cuando se trata de inyecciones de SQL, errores de scripts en sitios cruzados y problemas de criptografía.
Mirando más de cerca a PHP, también vemos que el 86% de todas las aplicaciones analizadas incluían problemas de XSS, el 73% incluía problemas criptográficos, el 67% permitía el cruce de directorios, el 61% la inyección de código, el 58% tenía problemas con la administración de credenciales, el 56% incluía problemas de inyección SQL, y el 50% permitía la fuga de información.
En cuanto a las pruebas de cumplimiento de políticas, las aplicaciones PHP escaneadas pasaron las pruebas del Top 10 de OWASP sólo en el 19% de los casos. ColdFusion tuvo la única calificación más baja con un 17% mientras que C/C++ pasó las pruebas OWASP en el 60% de los casos.
«En particular, observe que las aplicaciones en lenguajes de aplicación realmente compilados como C/C++ y Objective C (iOS) tienen una tasa de aprobación de OWASP más alta que los lenguajes de código de bytes de propósito general como Java o .NET, mientras que los lenguajes de scripts como Classic ASP, ColdFusion y PHP tienen una tasa de aprobación mucho más baja», señaló el equipo de Veracode en su informe.
El informe usó una métrica única, Densidad de Defectos por MB, que significa el número de problemas de seguridad descubiertos en cada MB de código fuente.