וורדפרס ו-Apache Struts מובילות בין פלטפורמות האינטרנט במספר הפגיעויות עם ניצול

חברת RiskSense опубликовала ממצאים ניתוח של 1622 פגיעויות במסגרות ובפלטפורמות עבור האינטרנט, שזוהו מ-2010 עד נובמבר 2019. כמה מסקנות:

• וורדפרס ו-Apache Struts מהוות 57% מכל הפגיעויות שעבורן ניצולים מוכנים להתקפות.
  בהמשך יגיעו דרופל, רובי און ריילס ולאראוול. רשימת הפלטפורמות עם פגיעויות מנוצלות כוללת גם את Node.js ו-Django, אך כל אחת מהן מצאה פגיעות אחת עם ניצול מתוך 56 ו-66 פגיעויות זמינות. הפגיעויות הנפוצות ביותר בוורדפרס הן סקריפטים בין אתרים, וב-Apache Struts הן בעיות עם אימות קלט.

• פרויקטים בשפות PHP ו-Java מובילים את מספר הפגיעויות עם ניצולים קיימים.
• בשנת 2019, מספר הפגיעות הכולל ירד, אך חלקן של הפגיעויות עם ניצול גדל מ-3.9% ל-8.6%, בעיקר בשל עלייה במספר הניצולים עבור Ruby on Rails, WordPress ו-Java.
• הפגיעות הנפוצה ביותר במדגם של 10 שנים היא סקריפטים בין אתרים (XSS). במדגם של 5 שנים, המובילים הם פגיעויות שנגרמו מאימות שגוי של נתוני קלט (24% מכלל הפגיעויות עם ניצול), ו-XSS ירד למקום החמישי.
• פגיעויות המאפשרות החלפה של SQL, קוד ופקודות הן נדירות יחסית, אך הן מובילות מבחינת זמינות הניצול - הוכנו ניצולים ליותר מ-50% מפגיעויות כאלה (60% עבור החלפת פקודות ו-39% עבור החלפת קוד) .

מקור: OpenNet.ru