O que estou querendo dizer é que não existe isso de "meu sistema ficou mais seguro porque fiz com a tecnologia x ao invés da y". Toda a competência de segurança, viabilidade e vulnerabilidade de uma aplicação é do desenvolvedor.
Confiar a segurança do seu aplicativo em sistemas, projetos e frameworks de terceiros é assumir a culpa inteiramente para o dev.
Javascript é ruim por design é não tem como não querer afirmar isso. A linguagem tem vários buracos e quem já mexe com ela há anos reconhece isso. E não digo do Javascript "node", "next", "react", etc... Digo do Javascript Vanilla, aquele qual deve receber seu nome. Mesma coisa com PHP.
C#, VB.NET e F# estão a todo momento recebendo incentivos da .NET Foundation e da comunidade super ativa, então acredito que é muito difícil quererem afirmar que o projeto .NET "é ruim".
Java também tem sua reputação.
A tecnologia usada é só um pequeno detalhe do desenvolvimento.