Категория > Новости > 55% всех используемых уязвимостей связаны с WordPress и Apache Struts - «Новости»

55% всех используемых уязвимостей связаны с WordPress и Apache Struts - «Новости»


19-03-2020, 00:02. Автор: Любомила

Эксперты компании RiskSense провели большую работу и изучили все уязвимости, раскрытые в период между 2010 и 2019 годами. Как оказалось, в 55% случаев злоумышленники эксплуатируют в реальных атаках баги в составе WordPress и Apache Struts.


Третье место по популярности у хакеров занимает CMS Drupal, а за ней следуют Ruby on Rails и Laravel. Что касается языков программирования, самыми атакуемыми стали уязвимости в приложениях PHP и Java.


В то же время наименее популярными оказались баги в jаvascript и Python, хотя эксперты RiskSense полагают, что это может измениться в ближайшие годы, так как оба языка теперь весьма популярны, и их принятие стремительно растет.


В частности, пользователям и ИБ-компаниями советуют следить за Node.js и Django, двумя наиболее популярными фреймворками для экосистем jаvascript и Python. Так, в Node.js было найдено значительно больше уязвимостей, чем в других jаvascript-фреймворках  — 56 уязвимостей, хотя пока активно использовалась только одна. Точно так же, в Django обнаружили 66 уязвимостей, но эксплуатации подвергалась лишь одна. RiskSense, ожидает, что хакеры вскоре обратят свой взор на этих восходящих звезд мира программирования и изучат возможность эксплуатации старых ошибок.


Также отмечается, что Perl и Ruby, которые были крайне популярны в начале 2010-х годов, теперь все реже подвергаются атакам, так как концу десятилетия программисты перешли на jаvascript и Python.


Кроме того, исследователи RiskSense изучили типы используемых уязвимостей. Выяснилось, что  хотя ошибки межсайтового скриптинга (XSS) являлись самыми распространенными ошибками безопасности, обнаруженными в 2010-х годах, они не были самыми используемыми. Этого звания удостоились различные багги, связанные с инъекциями, которыми можно злоупотреблять, чтобы внедрять и запускать свои собственные команды в контексте приложения или ОС жертвы.


«Уязвимости, связанные с инъекциями SQL, кода и различных команд, были достаточно редкими, но при этом имели одни из самых высоких показателей эксплуатирования — зачастую более 50%», — резюмируют специалисты.



Перейти обратно к новости