Công ty RiskSense phân tích 1622 lỗ hổng trong framework và nền tảng cho Web, được xác định từ năm 2010 đến tháng 2019 năm XNUMX. Một số kết luận:
- WordPress và Apache Struts chiếm 57% tổng số lỗ hổng bảo mật được chuẩn bị cho các cuộc tấn công.
Tiếp theo là Drupal, Ruby on Rails và Laravel. Danh sách các nền tảng bị khai thác lỗ hổng cũng bao gồm Node.js và Django, nhưng mỗi nền tảng đều tìm thấy một lỗ hổng có khả năng khai thác trong số 56 và 66 lỗ hổng có sẵn. Các lỗ hổng phổ biến nhất trong WordPress là tập lệnh chéo trang và trong Apache Struts, chúng là các vấn đề về xác thực đầu vào. - Các dự án bằng ngôn ngữ PHP và Java dẫn đầu về số lượng lỗ hổng với các cách khai thác hiện có.
- Năm 2019, tổng số lỗ hổng đã giảm, nhưng tỷ lệ lỗ hổng được khai thác đã tăng từ 3.9% lên 8.6%, chủ yếu là do số lượng khai thác cho Ruby on Rails, WordPress và Java tăng lên.
- Lỗ hổng phổ biến nhất trong mẫu 10 năm là tập lệnh chéo trang (XSS). Trong mẫu 5 năm, dẫn đầu là các lỗ hổng do xác minh dữ liệu đầu vào không chính xác (24% tổng số lỗ hổng được khai thác) và XSS tụt xuống vị trí thứ 5.
- Các lỗ hổng cho phép thay thế SQL, mã và lệnh tương đối hiếm, nhưng chúng dẫn đầu về tính sẵn có của các khai thác - các khai thác đã được chuẩn bị cho hơn 50% các lỗ hổng như vậy (60% cho thay thế lệnh và 39% cho thay thế mã) .
Nguồn: opennet.ru