Кампанія RiskSense аналізу 1622 уразлівасцяў у фрэймворках і платформах для Web, выяўленых з 2010 па лістапад 2019 гады. Некаторыя высновы:
- На WordPress і Apache Struts прыходзіцца 57% усіх уразлівасцяў, для якіх падрыхтаваны эксплоіты для здзяйснення нападаў.
Далей ідуць Drupal, Ruby on Rails і Laravel. У спісе платформаў з эксплуатаванымі ўразлівасцямі таксама прыводзяцца Node.js і Django, але ў іх знойдзена па адной уразлівасці з эксплоітам з 56 і 66 наяўных уразлівасцяў. З найболей распаўсюджаных уразлівасцяў у WordPress завецца міжсайтавы скрыптынг, а ў Apache Struts — праблемы з праверкай уваходных дадзеных. - Праекты на мовах PHP і Java лідзіруюць па колькасці ўразлівасцяў з існуючымі эксплоітамі.
- У 2019 годзе агульная колькасць уразлівасцяў зменшылася, але доля ўразлівасцяў з эксплоітамі ўзрасла з 3.9% да 8.6%, у асноўным за кошт росту колькасці эксплоітаў для Ruby on Rails, WordPress і Java.
- Найбольш распаўсюджанай уразлівасцю ў выбарцы за 10 гадоў з'яўляецца межсайтовый скрыптынг (XSS). У выбарцы за 5 гадоў лідзіруюць уразлівасці, выкліканыя некарэктнай праверкай уваходных дадзеных (24% усіх уразлівасцяў з эксплоітамі), а XSS апусціўся на 5 месца.
- Уразлівасці, якія дазваляюць ажыццявіць падстаноўку SQL, кода і каманд, адносна рэдкія, але лідзіруюць па паказчыках наяўнасці эксплоітаў – для больш за 50% падобных уразлівасцяў падрыхтаваны эксплоіты (60% для падстаноўкі каманд і 39% для падстаноўкі кода).
Крыніца: opennet.ru