Perusahaan RiskSense analisa 1622 kerentanan dina kerangka sareng platform pikeun Wéb, diidentifikasi ti 2010 dugi ka Nopémber 2019. Sababaraha kacindekan:
- WordPress sareng Apache Struts nyayogikeun 57% tina sadaya kerentanan anu eksploitasi disiapkeun pikeun serangan.
Teras sumping Drupal, Ruby on Rails sareng Laravel. Daptar platform sareng kerentanan anu dieksploitasi ogé kalebet Node.js sareng Django, tapi aranjeunna masing-masing mendakan hiji kerentanan kalayan eksploitasi tina 56 sareng 66 kerentanan anu sayogi. Kerentanan anu paling umum dina WordPress nyaéta skrip cross-situs, sareng dina Apache Struts aranjeunna masalah sareng validasi input. - Proyék dina basa PHP sareng Java nuju dina jumlah kerentanan sareng eksploitasi anu tos aya.
- Dina 2019, jumlah total kerentanan turun, tapi pangsa kerentanan sareng eksploitasi ningkat tina 3.9% ka 8.6%, utamina kusabab paningkatan jumlah eksploitasi pikeun Ruby on Rails, WordPress sareng Java.
- Kerentanan anu paling umum dina sampel 10 taun nyaéta cross-site scripting (XSS). Dina conto 5 taun, pamimpin mangrupikeun kerentanan anu disababkeun ku verifikasi data input anu salah (24% tina sadaya kerentanan sareng eksploitasi), sareng XSS turun ka tempat ka-5.
- Kerentanan anu ngamungkinkeun substitusi SQL, kode sareng paréntah kawilang jarang, tapi aranjeunna nuju dina hal kasadiaan eksploitasi - eksploitasi parantos disiapkeun langkung ti 50% tina kerentanan sapertos kitu (60% pikeun substitusi paréntah sareng 39% pikeun substitusi kode) .
sumber: opennet.ru