風險意識公司 對 1622 年至 2010 年 2019 月期間發現的 Web 框架和平台中的 XNUMX 個漏洞進行了分析。一些結論:
- WordPress 和 Apache Struts 佔所有準備攻擊的漏洞的 57%。
接下來是 Drupal、Ruby on Rails 和 Laravel。被利用漏洞的平台清單還包括 Node.js 和 Django,但它們各自在 56 個和 66 個可用漏洞中發現了一個被利用的漏洞。 WordPress 中最常見的漏洞是跨網站腳本,而在 Apache Struts 中,最常見的漏洞是輸入驗證問題。 - PHP 和 Java 語言的專案在現有漏洞利用方面處於領先地位。
- 2019年,漏洞總數有所下降,但利用漏洞的比例從3.9%上升至8.6%,主要是因為Ruby on Rails、WordPress和Java的利用漏洞數量增加。
- 10 年樣本中最常見的漏洞是跨站腳本攻擊 (XSS)。在 5 年樣本中,領先的是由於輸入資料驗證不正確而導致的漏洞(佔所有利用漏洞的 24%),XSS 下降到第 5 位。
- 允許替換SQL、程式碼和命令的漏洞相對較少,但它們在漏洞利用的可用性方面處於領先地位- 超過50% 的此類漏洞已準備好漏洞利用(60% 用於命令替換,39% 用於程式碼替換) 。
來源: opennet.ru