Uzņēmums RiskSense 1622 ievainojamību analīze tīmekļa ietvaros un platformās, kas identificētas no 2010. gada līdz 2019. gada novembrim. Daži secinājumi:
- WordPress un Apache Struts veido 57% no visām ievainojamībām, kuru izmantošana ir sagatavota uzbrukumiem.
Tālāk seko Drupal, Ruby on Rails un Laravel. Platformu ar izmantotajām ievainojamībām sarakstā ir arī Node.js un Django, taču katra no tām atrada vienu ievainojamību ar ļaunprātīgu izmantošanu no 56 un 66 pieejamajām ievainojamībām. Visizplatītākā WordPress ievainojamība ir starpvietņu skriptēšana, un Apache Struts tās ir problēmas ar ievades validāciju. - Projekti PHP un Java valodās rada ievainojamību skaitu ar esošajiem ļaunprātīgajiem risinājumiem.
- 2019. gadā kopējais ievainojamību skaits samazinājās, bet ievainojamību īpatsvars ar exploitiem palielinājās no 3.9% līdz 8.6%, galvenokārt pateicoties Ruby on Rails, WordPress un Java ievainojamību skaita pieaugumam.
- Visizplatītākā ievainojamība 10 gadu paraugā ir starpvietņu skriptēšana (XSS). 5 gadu izlasē līderi ir ievainojamības, ko izraisījusi nepareiza ievades datu pārbaude (24% no visām ievainojamībām ar izlietojumiem), un XSS nokrita uz 5. vietu.
- Ievainojamības, kas ļauj aizstāt SQL, kodu un komandas, ir salīdzinoši reti sastopamas, taču tās ir vadošās exploitu pieejamības ziņā – izmantojumi ir sagatavoti vairāk nekā 50% šādu ievainojamību (60% komandu aizstāšanai un 39% koda aizstāšanai). .
Avots: opennet.ru