امنیت

سیستم‌عامل و نرم‌افزار

فناوری اطلاعات

April 17, 2013
9:33 چهارشنبه، 28ام فروردینماه 1392
کد خبر: 54453

برخی زبان‌های برنامه نویسی ناامن هستند

 

یک شرکت عرضه کننده راهکارهای امنیتی اعلام کرده است برخی از زبان‌های برنامه نویسی مثل سی (C) و سی پلاس پلاس (++C) در مقابل رخنه‌های امنیتی آسیب پذیر‌تر از سایر زبان‌ها است. 
 
به گزارش وب سایت eweek، شرکت وِراکُد (Veracode) در مطالعه‌ای اعلام کرده است برخی زبان‌های برنامه نویسی مثل سی و سی پلاس پلاس در مقایسه با سایر زبان‌ها از آسیب پذیری بیشتری برخوردار هستند و در نتیجه برنامه‌ها و نرم افزارهایی که با این زبان‌ها نوشته شوند، دارای رخنه‌های امنیتی بیشتری خواهند بود. بر اساس اعلام این شرکت زبان‌هایی مثل دات نت (Net.) از ایمنی بیشتری برخوردار هستند. 
شرکت وِراکُد با انجام مطالعه‌ای که از ژانویه ۲۰۱۱ تا ژوئن ۲۰۱۲ بر روی ۲۲ هزار و ۴۳۰ نرم افزاری که از طریق پلت فرم این شرکت ارزیابی و آپلود شده است به این نتایج دست یافته است. پژوهشگران این شرکت دریافته‌اند که اگر زبان‌های برنامه نویسی به تنهایی و بدون دخالت برنامه نویس بتوانند داده‌های رشته‌ای و داده‌های اعداد صحیح را از هم متمایز کنند و فضای لازم برای ذخیره هر قطعه داده را به آن اختصاص دهند، زبان‌های ایمنی محسوب می‌شوند، ولی اگر نتوانند فضای ذخیره لازم را به آن اختصاص دهند، برنامه نویسان همیشه با مشکل ازدیاد بافر‌ها یا میانگیر‌ها مواجه خواهند شد و این امر باعث ایجاد رخنه‌های امنیتی در نرم افزارهای طراحی شده می‌شود. 
پژوهشگران وراکد دریافته‌اند که فقط یک درصد از برنامه‌هایی که با زبان دات نت نوشته می‌شود، دارای مشکل ازدیاد بافرهاست، ولی این رقم درباره نرم افزارهایی که با زبان سی یا سی پلاس پلاس نوشته می‌شود، ۴۸ درصد است. یافته‌های این شرکت نشان می‌دهد تزریق کدهای مخرب به پایگاه‌های داده (SQL injection) که یکی از شیوه‌های نفوذ به برنامه‌ها و نرم افزارهاست، در برخی زبان‌ها تاثیرگذار‌تر است. پژوهشگران وراکد در ۳۱ درصد از برنامه‌های تحت جاوا آسیب پذیری‌های مربوط به این تزریق کدهای مخرب را مشاهده کرده‌اند. این رقم درباره برنامه‌های تحت پی اچ پی و کلدفوزیون به ترتیب ۲۷ درصد و ۷۲ درصد است.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.