Компания RiskSense опубликовала результаты анализа 1622 уязвимостей в web-фреймворках, выявленных с 2010 по ноябрь 2019 года. Некоторые выводы:
- На WordPress и Apache Struts приходится 57% всех уязвимостей, для которых подготовлены эксплоиты для совершения атак. Далее следуют Drupal, Ruby on Rails и Laravel. В списке платформ с эксплуатируемыми уязвимостями также приводятся Node.js и Django, но в них найдено по одной уязвимости с эксплоитом из 56 и 66 имеющихся уязвимостей. Из наиболее распространённых уязвимостей в WordPress называется межсайтовый скриптинг, а в Apache Struts — проблемы с проверкой входных данных.
- Проекты на языках PHP и Java лидируют по числу уязвимостей с существующими эксплоитами.
- В 2019 году общее число уязвимостей уменьшилось, но доля уязвимостей с эксплоитами возросла c 3.9% до 8.6%, в основном за счёт роста числа эксплоитов для Ruby on Rails, WordPress и Java.
- Наиболее распространённой уязвимостью в выборке за 10 лет является межсайтовый скриптинг (XSS). В выборке за 5 лет лидируют уязвимости, вызванные некорректной проверкой входных данных (24% всех уязвимостей с эксплоитами), а XSS опустился на 5 место.
- Уязвимости, позволяющие осуществить подстановку SQL, кода и команд, относительно редки, но лидируют по показателям наличия эксплоитов — для более 50% подобных уязвимостей подготовлены эксплоиты (60% для подстановки команд и 39% для подстановки кода)
