风险意识公司 对 1622 年至 2010 年 2019 月期间发现的 Web 框架和平台中的 XNUMX 个漏洞进行了分析。 一些结论:
- WordPress 和 Apache Struts 占所有准备攻击的漏洞的 57%。
接下来是 Drupal、Ruby on Rails 和 Laravel。 被利用漏洞的平台列表还包括 Node.js 和 Django,但它们各自在 56 个和 66 个可用漏洞中发现了一个被利用的漏洞。 WordPress 中最常见的漏洞是跨站点脚本,而在 Apache Struts 中,最常见的漏洞是输入验证问题。 - PHP 和 Java 语言的项目在现有漏洞利用方面处于领先地位。
- 2019年,漏洞总数有所下降,但利用漏洞的比例从3.9%上升至8.6%,主要是由于Ruby on Rails、WordPress和Java的利用漏洞数量增加。
- 10 年样本中最常见的漏洞是跨站脚本攻击 (XSS)。 在 5 年样本中,领先的是由于输入数据验证不正确而导致的漏洞(占所有利用漏洞的 24%),XSS 下降到第 5 位。
- 允许替换 SQL、代码和命令的漏洞相对较少,但它们在漏洞利用的可用性方面处于领先地位 - 超过 50% 的此类漏洞已准备好漏洞利用(60% 用于命令替换,39% 用于代码替换) 。
来源: opennet.ru