Empresa RiskSense análise de 1622 vulnerabilidades en frameworks e plataformas para a Web, identificadas desde 2010 ata novembro de 2019. Algunhas conclusións:
- WordPress e Apache Struts representan o 57% de todas as vulnerabilidades para as que os exploits están preparados para ataques.
A continuación veñen Drupal, Ruby on Rails e Laravel. A lista de plataformas con vulnerabilidades explotadas tamén inclúe Node.js e Django, pero cada unha delas atopou unha vulnerabilidade cun exploit de entre 56 e 66 vulnerabilidades dispoñibles. As vulnerabilidades máis comúns en WordPress son os scripts entre sitios, e en Apache Struts son problemas coa validación de entrada. - Os proxectos en linguaxes PHP e Java lideran o número de vulnerabilidades con exploits existentes.
- En 2019, o número total de vulnerabilidades diminuíu, pero a proporción de vulnerabilidades con exploits aumentou do 3.9% ao 8.6%, principalmente debido ao aumento do número de vulnerabilidades para Ruby on Rails, WordPress e Java.
- A vulnerabilidade máis común na mostra de 10 anos é o cross-site scripting (XSS). Na mostra de 5 anos, os líderes son as vulnerabilidades causadas pola verificación incorrecta dos datos de entrada (o 24% de todas as vulnerabilidades con exploits) e XSS caeu ao quinto lugar.
- As vulnerabilidades que permiten a substitución de SQL, código e comandos son relativamente raras, pero lideran en canto á dispoñibilidade de exploits. Preparáronse exploits para máis do 50% destas vulnerabilidades (60% para substitución de comandos e 39% para substitución de código). .
Fonte: opennet.ru