شركة ريسك سينس تحليل 1622 نقطة ضعف في أطر ومنصات الويب، تم تحديدها في الفترة من 2010 إلى نوفمبر 2019. بعض الاستنتاجات:
- تمثل WordPress وApache Struts 57% من جميع الثغرات الأمنية التي تم إعداد برامج استغلالها للهجمات.
ويأتي بعد ذلك دروبال، وروبي أون ريلز، ولارافيل. تتضمن قائمة المنصات ذات الثغرات المستغلة أيضًا Node.js وDjango، لكن كل منهما وجد ثغرة أمنية واحدة مع استغلال من بين 56 و66 نقطة ضعف متاحة. أكثر نقاط الضعف شيوعًا في WordPress هي البرمجة النصية عبر المواقع، وفي Apache Struts هي مشكلات تتعلق بالتحقق من صحة الإدخال. - تؤدي المشاريع المكتوبة بلغات PHP وJava إلى زيادة عدد الثغرات الأمنية في عمليات الاستغلال الحالية.
- في عام 2019، انخفض إجمالي عدد الثغرات الأمنية، لكن حصة الثغرات الأمنية المرتبطة ببرمجيات إكسبلويت زادت من 3.9% إلى 8.6%، ويرجع ذلك أساسًا إلى زيادة عدد برمجيات إكسبلويت لـ Ruby on Rails وWordPress وJava.
- الثغرة الأمنية الأكثر شيوعًا في عينة العشر سنوات هي البرمجة النصية عبر المواقع (XSS). في عينة الخمس سنوات، كانت الثغرات الرائدة هي الثغرات الناجمة عن التحقق غير الصحيح من بيانات الإدخال (10% من جميع الثغرات الأمنية المرتبطة ببرمجيات إكسبلويت)، وانخفض XSS إلى المركز الخامس.
- تعد الثغرات الأمنية التي تسمح باستبدال SQL والتعليمات البرمجية والأوامر نادرة نسبيًا، ولكنها تتفوق من حيث توفر برمجيات إكسبلويت - وقد تم إعداد برمجيات إكسبلويت لأكثر من 50% من هذه الثغرات الأمنية (60% لاستبدال الأوامر و39% لاستبدال التعليمات البرمجية) .
المصدر: opennet.ru