Эксперты компании RiskSense провели большую работу и изучили все уязвимости, раскрытые в период между 2010 и 2019 годами. Как оказалось, в 55% случаев злоумышленники эксплуатируют в реальных атаках баги в составе WordPress и Apache Struts.

Третье место по популярности у хакеров занимает CMS Drupal, а за ней следуют Ruby on Rails и Laravel. Что касается языков программирования, самыми атакуемыми стали уязвимости в приложениях PHP и Java.

В то же время наименее популярными оказались баги в jаvascript и Python, хотя эксперты RiskSense полагают, что это может измениться в ближайшие годы, так как оба языка теперь весьма популярны, и их принятие стремительно растет.

В частности, пользователям и ИБ-компаниями советуют следить за Node.js и Django, двумя наиболее популярными фреймворками для экосистем jаvascript и Python. Так, в Node.js было найдено значительно больше уязвимостей, чем в других jаvascript-фреймворках  — 56 уязвимостей, хотя пока активно использовалась только одна. Точно так же, в Django обнаружили 66 уязвимостей, но эксплуатации подвергалась лишь одна. RiskSense, ожидает, что хакеры вскоре обратят свой взор на этих восходящих звезд мира программирования и изучат возможность эксплуатации старых ошибок.

Также отмечается, что Perl и Ruby, которые были крайне популярны в начале 2010-х годов, теперь все реже подвергаются атакам, так как концу десятилетия программисты перешли на jаvascript и Python.

Кроме того, исследователи RiskSense изучили типы используемых уязвимостей. Выяснилось, что  хотя ошибки межсайтового скриптинга (XSS) являлись самыми распространенными ошибками безопасности, обнаруженными в 2010-х годах, они не были самыми используемыми. Этого звания удостоились различные багги, связанные с инъекциями, которыми можно злоупотреблять, чтобы внедрять и запускать свои собственные команды в контексте приложения или ОС жертвы.

Теги: CSS