RiesgoSense empresa Análisis de 1622 vulnerabilidades en frameworks y plataformas para la Web, identificadas desde 2010 hasta noviembre de 2019. Algunas conclusiones:
- WordPress y Apache Struts representan el 57% de todas las vulnerabilidades para las que se preparan exploits para ataques.
Luego vienen Drupal, Ruby on Rails y Laravel. La lista de plataformas con vulnerabilidades explotadas también incluye Node.js y Django, pero cada uno de ellos encontró una vulnerabilidad con un exploit entre 56 y 66 vulnerabilidades disponibles. Las vulnerabilidades más comunes en WordPress son las secuencias de comandos entre sitios y en Apache Struts son problemas con la validación de entradas. - Los proyectos en lenguajes PHP y Java lideran el número de vulnerabilidades con exploits existentes.
- En 2019, el número total de vulnerabilidades disminuyó, pero la proporción de vulnerabilidades con exploits aumentó del 3.9% al 8.6%, principalmente debido a un aumento en el número de exploits para Ruby on Rails, WordPress y Java.
- La vulnerabilidad más común en la muestra de 10 años es la secuencia de comandos entre sitios (XSS). En la muestra de 5 años, los líderes son las vulnerabilidades causadas por la verificación incorrecta de los datos de entrada (24% de todas las vulnerabilidades con exploits), y XSS cayó al quinto lugar.
- Las vulnerabilidades que permiten la sustitución de SQL, código y comandos son relativamente raras, pero lideran en términos de disponibilidad de exploits: se han preparado exploits para más del 50% de dichas vulnerabilidades (60% para la sustitución de comandos y 39% para la sustitución de código). .
Fuente: opennet.ru