บริษัท ริสก์เซนส์ การวิเคราะห์ช่องโหว่ 1622 รายการในเฟรมเวิร์กและแพลตฟอร์มสำหรับเว็บ ระบุตั้งแต่ปี 2010 ถึงพฤศจิกายน 2019 ข้อสรุปบางประการ:
- WordPress และ Apache Struts คิดเป็น 57% ของช่องโหว่ทั้งหมดที่เตรียมการหาช่องโหว่ไว้สำหรับการโจมตี
ถัดไปคือ Drupal, Ruby on Rails และ Laravel รายชื่อแพลตฟอร์มที่มีช่องโหว่ที่ถูกโจมตียังรวมถึง Node.js และ Django ด้วย แต่ทั้งสองพบช่องโหว่หนึ่งรายการที่มีการใช้ประโยชน์จากช่องโหว่ที่มีอยู่ 56 และ 66 รายการ ช่องโหว่ที่พบบ่อยที่สุดใน WordPress คือการเขียนสคริปต์ข้ามไซต์ และใน Apache Struts ช่องโหว่เหล่านี้คือปัญหาในการตรวจสอบความถูกต้องของอินพุต - โปรเจ็กต์ในภาษา PHP และ Java นำไปสู่ช่องโหว่จำนวนมากจากช่องโหว่ที่มีอยู่
- ในปี 2019 จำนวนช่องโหว่ทั้งหมดลดลง แต่ส่วนแบ่งของช่องโหว่ที่มีช่องโหว่เพิ่มขึ้นจาก 3.9% เป็น 8.6% สาเหตุหลักมาจากการเพิ่มขึ้นของจำนวนช่องโหว่สำหรับ Ruby on Rails, WordPress และ Java
- ช่องโหว่ที่พบบ่อยที่สุดในกลุ่มตัวอย่าง 10 ปีคือ Cross-site Scripting (XSS) ในกลุ่มตัวอย่าง 5 ปี ผู้นำคือช่องโหว่ที่เกิดจากการตรวจสอบข้อมูลที่ป้อนไม่ถูกต้อง (24% ของช่องโหว่ทั้งหมดที่มีช่องโหว่) และ XSS ตกลงไปอยู่อันดับที่ 5
- ช่องโหว่ที่อนุญาตให้มีการทดแทน SQL รหัสและคำสั่งนั้นค่อนข้างหายาก แต่นำไปสู่ความพร้อมใช้งานของช่องโหว่ - มีการเตรียมช่องโหว่ดังกล่าวมากกว่า 50% ของช่องโหว่ดังกล่าว (60% สำหรับการทดแทนคำสั่งและ 39% สำหรับการทดแทนรหัส) .
ที่มา: opennet.ru