Firma RiskSense analiza 1622 podatności w frameworkach i platformach internetowych, zidentyfikowanych od 2010 roku do listopada 2019 roku. Niektóre wnioski:
- WordPress i Apache Struts odpowiadają za 57% wszystkich luk, dla których przygotowane są exploity do ataków.
Dalej są Drupal, Ruby on Rails i Laravel. Lista platform z wykorzystanymi lukami obejmuje również Node.js i Django, ale każda z nich znalazła po jednej luce z exploitem spośród 56 i 66 dostępnych luk. Najczęstsze luki w WordPressie to skrypty typu cross-site, a w Apache Struts są to problemy z walidacją danych wejściowych. - Projekty w językach PHP i Java przodują pod względem liczby luk w istniejących exploitach.
- W 2019 roku ogólna liczba luk spadła, ale udział luk z exploitami wzrósł z 3.9% do 8.6%, głównie za sprawą wzrostu liczby exploitów dla Ruby on Rails, WordPress i Java.
- Najczęstszą luką w próbie 10-letniej jest skrypt krzyżowy (XSS). W próbie 5-letniej prym wiodą luki powstałe w wyniku nieprawidłowej weryfikacji danych wejściowych (24% wszystkich podatności z exploitami), a XSS spadł na 5. miejsce.
- Podatności umożliwiające podstawienie SQL, kodu i poleceń są stosunkowo rzadkie, jednak przodują pod względem dostępności exploitów - exploity zostały przygotowane dla ponad 50% takich podatności (60% dla podstawienia poleceń i 39% dla podstawienia kodu) .
Źródło: opennet.ru