Εταιρεία RiskSense ανάλυση 1622 τρωτών σημείων σε πλαίσια και πλατφόρμες για τον Ιστό, που εντοπίστηκαν από το 2010 έως τον Νοέμβριο του 2019. Μερικά συμπεράσματα:
- Το WordPress και το Apache Struts αντιπροσωπεύουν το 57% όλων των τρωτών σημείων για τα οποία τα exploit είναι προετοιμασμένα για επιθέσεις.
Ακολουθούν οι Drupal, Ruby on Rails και Laravel. Η λίστα των πλατφορμών με εκμεταλλευόμενα τρωτά σημεία περιλαμβάνει επίσης το Node.js και το Django, αλλά το καθένα βρήκαν ένα θέμα ευπάθειας με εκμετάλλευση από τα 56 και 66 διαθέσιμα τρωτά σημεία. Τα πιο κοινά τρωτά σημεία στο WordPress είναι η δέσμη ενεργειών μεταξύ τοποθεσιών και στα Apache Struts είναι προβλήματα με την επικύρωση εισόδου. - Τα έργα σε γλώσσες PHP και Java οδηγούν στον αριθμό των τρωτών σημείων με υπάρχοντα exploits.
- Το 2019, ο συνολικός αριθμός των τρωτών σημείων μειώθηκε, αλλά το μερίδιο των τρωτών σημείων με εκμεταλλεύσεις αυξήθηκε από 3.9% σε 8.6%, κυρίως λόγω της αύξησης του αριθμού των εκμεταλλεύσεων για το Ruby on Rails, το WordPress και την Java.
- Η πιο κοινή ευπάθεια στο δείγμα 10 ετών είναι το cross-site scripting (XSS). Στο 5ετές δείγμα, οι κορυφαίοι είναι οι ευπάθειες που προκαλούνται από λανθασμένη επαλήθευση των δεδομένων εισόδου (24% όλων των τρωτών σημείων με εκμεταλλεύσεις) και το XSS έπεσε στην 5η θέση.
- Τα τρωτά σημεία που επιτρέπουν την αντικατάσταση της SQL, του κώδικα και των εντολών είναι σχετικά σπάνια, αλλά προηγούνται όσον αφορά τη διαθεσιμότητα εκμεταλλεύσεων - έχουν προετοιμαστεί εκμεταλλεύσεις για περισσότερο από το 50% αυτών των τρωτών σημείων (60% για αντικατάσταση εντολών και 39% για αντικατάσταση κώδικα) .
Πηγή: opennet.ru