编程语言安全漏洞-Java-.Net-PHP-JavaScript-Python-和-C (编程语言安全性排行)

在当下的市场环境中，除了掌握困扰软件的最常见安全问题外，开发人员还应该了解到底是什么问题在影响他们正在使用的编程语言。静态代码分析安全公司 Veracode 最近发布了一份年度软件安全状态(SOSS)报告，其中的第 11 卷则揭示了用 .NET、C++、Java、JavaScript、php 或 Python 编写的应用程序中所存在的主要安全漏洞类型(基于扫描的 13 万个应用程序)。

Veracode 的高级内容营销经理 Meghan McBee 称，“在你坐下来编写代码之前，了解这些应用程序的安全趋势意味着你准备好快速修复它们，或者甚至是完全阻止它们。如果你选择的是 C++、PHP、.Net 或 Java 语言，请注意，它们很容易出现一些风险最高的漏洞。实际上，高达 59% 的 C++ 应用具有严重程度非常高的缺陷，PHP 则紧随其后。”

Veracode 发现，用 JavaScript 编写的应用中，有 31.5% 的应用至少存在一个跨站脚本(XSS)缺陷;用 PHP 编写的应用中，有 74.6% 的应用至少存在一个 XSS 缺陷。此外，还有 71% 的 PHP 应用存在加密问题。

用 .NET 编写的应用程序中存在的主要问题是信息泄露，占比 62.8%;其他还包括有代码质量(53.6%)、输入验证不足(48.8%)等。C++ 的问题有：错误处理(66.5%)、缓冲区管理错误(46.8%)、数值错误(45.8%)、目录遍历等。

Java 的问题包括：CRLF 注入(64.4%)、代码质量(54.3%)以及信息泄露(51.9%)等。而对于 Python apps，其中发现的主要问题则与加密有关，占比 35%。

值得注意的是，在每种语言的应用程序中发现的缺陷的严重性也有很大的区别。Veracode 发现，有 59% 用 C++ 编写的应用程序和 52% 用 PHP 编写的应用程序存在高严重性缺陷。用 JavaScript 编写的应用程序中，只有 9.6% 存在高严重性缺陷。Java 的高严重性缺陷数据则为 24%。

针对这些数据，Veracode 首席研究官 Chris Eng 分别作出了解读。他指出，例如，C++ 中常见的缓冲区溢出问题出现了下降的趋势，这并不是因为开发者的进步，而是在于 C++ 的流行度的下降。另一方面，受语言流行度上升的影响，影响 JavaScript 和 Python 的问题则正在一点点爬升。

Java 和 .NET 在企业中仍然很受欢迎，PHP 也仍然是 Web 应用开发中最受欢迎的脚本语言之一。Eng 认为，PHP 代码中的漏洞较多的原因主要在于，该语言提供了很多不安全的 primitives 和错误地处理方法 。

而相较之下，尽管 JavaScript 应用中发现的缺陷较少，但 JavaScript 和 node.js 开源库的庞大 npm 生态系统仍是其一个潜在的弱点。Eng 建议工程和产品团队保持更新，以降低打补丁的麻烦程度和关键应用的成本。

此外，应用程序安全公司 Snyk 此前则发表观点称，影响 JavaScript、Ruby、Java、PHP 和 Python 的大多数安全漏洞是由于项目内部加载的主要组件之间的间接依赖性引起的。

报告详情可查看：

本文标题：Rust 语言 2020 调查报告发布：“Rust 太难，生命周期更难”

本文地址：

现在黑客必备的编程语言最好是什么语言？

1.黑客+找工作 C++ 和 微软编译器VC++6.0 （微软在Linux上无编译器） 2.黑客+厉害的 C++ 和 Borland编译器BCB （Linux上有） 3.黑客+厉害的 C 和 Borland编译器BCB （Linux上有） 4.黑客+厉害的 Pascal和 Borland编译器delphi （Linux上有） 5.黑客+非常厉害的 C 汇编 Borland编译器BCB （Linux上有） A.黑客+找工作 T-SQL 微软数据库SQL SERVER 2005 （Linux上无） B.黑客+厉害的 T-SQL MySQLAB数据库 MYSQL （Linux上有） JAVA C#是第二代语言。 黑客几乎不碰的语言。 。 。 因为要虚拟机。 确实是这样，计算机语言可不是越新一代的语言就越好。 恰恰相反，用汇编的看不起用C的，用C的看不起用C++和Pascal的，用C++和Pascal看不起用JAVA的，用JAVA的看不起用C#的。 。 。 推荐路线是1+A，现在满天的是WINDOWS，怕什么。 一处通处处通，学会一样其他的也很容易。 （我就是如此，其他的语言也会点） 如果你直接买VC++的书里面大多都是用C语言教学，你要先买C++的书再只学习VC++书里的使用控件就行了。 SQLSERVER2005你要会增删改查 建改数据库 建改数据表 数据库约束 数据库存储过程 注意：delphi现在在中国也许只占2%的份额。 可你别忘了中国赫赫用名的 熊猫烧香+灰鸽子都出自delphi。 聪明的程序员用Pascal，真正的程序员用C++.

什么是phpinfo xss跨站脚本攻击漏洞?

说明： php是一款被广泛使用的编程语言，可以被嵌套在html里用做web程序开发。 phpinfo()是用来显示当前php环境的一个函数，许多站点和程序都会将phpinfo放在自己的站点上或者在程序里显示，但是phpinfo里存在一些安全问题，导致精心构造数据就可以产生一个跨站脚本漏洞，可以被用来进行攻击。 漏洞成因： phpinfo页面对输入的参数都做了详细的过滤，但是没有对输出的进行charset的指定，而在一些浏览器里如IE7里，你可以让它自动选择编码或者通过一个iframe页面给它指定编码，这样就可以饶过phpinfo的过滤而产生一个跨站脚本漏洞。

急求！病毒一般用什么语言编写的？

只要能编程的语言，几乎都能遍病毒，C，C#，VB，VBScript，JAVA，JAVAScript，还有其他的`~~~~~ 最简单的病毒也可以用批处理写出来，搞一些小破坏是可以的。没有特定的语言，有路子有后门有漏洞，就有病毒