RiskSense Company analiza 1622 ranjivosti u okvirima i platformama za Web, identifikovane od 2010. do novembra 2019. godine. Neki zaključci:
- WordPress i Apache Struts čine 57% svih ranjivosti za koje se eksploatacije pripremaju za napade.
Slijede Drupal, Ruby on Rails i Laravel. Lista platformi sa iskorišćenim ranjivostima takođe uključuje Node.js i Django, ali su svaka od njih pronašla po jednu ranjivost sa eksploatacijom od 56 i 66 dostupnih ranjivosti. Najčešća ranjivost u WordPress-u su skriptovanje na više lokacija, au Apache Struts-u su problemi sa validacijom unosa. - Projekti na PHP i Java jezicima predvode u broju ranjivosti sa postojećim exploitima.
- U 2019. godini ukupan broj ranjivosti se smanjio, ali je udio ranjivosti sa eksploatacijama porastao sa 3.9% na 8.6%, uglavnom zbog povećanja broja eksploatacija za Ruby on Rails, WordPress i Java.
- Najčešća ranjivost u desetogodišnjem uzorku je skriptiranje na više lokacija (XSS). U petogodišnjem uzorku vodeće su ranjivosti uzrokovane netačnom provjerom ulaznih podataka (10% svih ranjivosti sa eksploatacijama), a XSS je pao na 5. mjesto.
- Ranjivosti koje dopuštaju zamjenu SQL-a, koda i naredbi su relativno rijetke, ali vode u pogledu dostupnosti eksploatacije - eksploatacije su pripremljene za više od 50% takvih ranjivosti (60% za zamjenu naredbi i 39% za zamjenu koda) .
izvor: opennet.ru