Société RiskSense analyse de 1622 vulnérabilités dans les frameworks et plateformes pour le Web, identifiées de 2010 à novembre 2019. Quelques conclusions :
- WordPress et Apache Struts représentent 57 % de toutes les vulnérabilités pour lesquelles des exploits sont préparés pour les attaques.
Viennent ensuite Drupal, Ruby on Rails et Laravel. La liste des plateformes avec des vulnérabilités exploitées inclut également Node.js et Django, mais elles ont chacune trouvé une vulnérabilité avec un exploit sur 56 et 66 vulnérabilités disponibles. Les vulnérabilités les plus courantes dans WordPress sont les scripts intersites, et dans Apache Struts, ce sont des problèmes de validation des entrées. - Les projets en langages PHP et Java sont en tête du nombre de vulnérabilités avec des exploits existants.
- En 2019, le nombre total de vulnérabilités a diminué, mais la part des vulnérabilités avec exploits a augmenté de 3.9 % à 8.6 %, principalement en raison d'une augmentation du nombre d'exploits pour Ruby on Rails, WordPress et Java.
- La vulnérabilité la plus courante dans l’échantillon sur 10 ans est le cross-site scripting (XSS). Dans l'échantillon de 5 ans, les vulnérabilités causées par une vérification incorrecte des données d'entrée sont en tête (24 % de toutes les vulnérabilités avec exploits), et XSS est tombé à la 5e place.
- Les vulnérabilités qui permettent la substitution de SQL, de code et de commandes sont relativement rares, mais elles sont en tête en termes de disponibilité d'exploits - des exploits ont été préparés pour plus de 50 % de ces vulnérabilités (60 % pour la substitution de commandes et 39 % pour la substitution de code). .
Source: opennet.ru