Syarikat RiskSense analisis 1622 kelemahan dalam rangka kerja dan platform untuk Web, yang dikenal pasti dari 2010 hingga November 2019. Beberapa kesimpulan:
- WordPress dan Apache Struts menyumbang 57% daripada semua kelemahan yang eksploitasi disediakan untuk serangan.
Seterusnya ialah Drupal, Ruby on Rails dan Laravel. Senarai platform dengan kelemahan yang dieksploitasi juga termasuk Node.js dan Django, tetapi masing-masing menemui satu kelemahan dengan eksploitasi daripada 56 dan 66 kelemahan yang tersedia. Kerentanan yang paling biasa dalam WordPress ialah skrip merentas tapak, dan dalam Apache Struts ia adalah masalah dengan pengesahan input. - Projek dalam bahasa PHP dan Java mendahului dalam jumlah kelemahan dengan eksploitasi sedia ada.
- Pada tahun 2019, jumlah kelemahan menurun, tetapi bahagian kelemahan dengan eksploitasi meningkat daripada 3.9% kepada 8.6%, terutamanya disebabkan oleh peningkatan dalam bilangan eksploitasi untuk Ruby on Rails, WordPress dan Java.
- Kerentanan yang paling biasa dalam sampel 10 tahun ialah skrip rentas tapak (XSS). Dalam sampel 5 tahun, peneraju adalah kelemahan yang disebabkan oleh pengesahan data input yang salah (24% daripada semua kelemahan dengan eksploitasi), dan XSS jatuh ke tempat ke-5.
- Kerentanan yang membenarkan penggantian SQL, kod dan arahan agak jarang berlaku, tetapi ia mendahului dari segi ketersediaan eksploitasi - eksploitasi telah disediakan untuk lebih daripada 50% daripada kelemahan tersebut (60% untuk penggantian arahan dan 39% untuk penggantian kod) .
Sumber: opennet.ru