RiskSense ettevõte 1622 haavatavuse analüüs veebi raamistikes ja platvormides, mis tuvastati 2010. aastast 2019. aasta novembrini. Mõned järeldused:
- WordPress ja Apache Struts moodustavad 57% kõigist haavatavustest, mille ärakasutamine on rünnakuteks ette valmistatud.
Järgmisena tulevad Drupal, Ruby on Rails ja Laravel. Kasutatud haavatavustega platvormide loendis on ka Node.js ja Django, kuid igaüks neist leidis 56 ja 66 olemasolevast haavatavusest ühe haavatavuse, mida kasutati ära. WordPressi kõige levinumad haavatavused on saidiülene skriptimine ja Apache Strutsis on need sisendi valideerimisega seotud probleemid. - PHP- ja Java-keelte projektid toovad kaasa olemasolevate ärakasutamistega haavatavuste arvu.
- 2019. aastal haavatavuste koguarv vähenes, kuid ärakasutamistega turvaaukude osakaal kasvas 3.9%-lt 8.6%-ni, seda peamiselt Ruby on Rails'i, WordPressi ja Java exploittide arvu kasvu tõttu.
- Kõige tavalisem haavatavus 10-aastases proovis on saidiülene skriptimine (XSS). 5-aastases valimis on liidrid haavatavused, mis on põhjustatud sisendandmete ebaõigest kontrollimisest (24% kõigist exploitidega turvaaukudest) ja XSS langes 5. kohale.
- Turvaaugud, mis võimaldavad SQL-i, koodi ja käskude asendamist, on suhteliselt haruldased, kuid need juhivad äparduste kättesaadavuse osas – exploite on ette valmistatud enam kui 50% sellistest haavatavustest (60% käsu asendamiseks ja 39% koodi asendamiseks) .
Allikas: opennet.ru