Компания RiskSense опубликовала результаты анализа 1622 уязвимостей во фреймворках и платформах для Web, выявленных с 2010 по ноябрь 2019 года.

Некоторые выводы:

• На WordPress и Apache Struts приходится 57% всех уязвимостей, для которых подготовлены эксплоиты для совершения атак. Далее следуют Drupal, Ruby on Rails и Laravel. В списке платформ с эксплуатируемыми уязвимостями также приводятся Node.js и Django, но в них найдено по одной уязвимости с эксплоитом из 56 и 66 имеющихся уязвимостей. Из наиболее распространённых уязвимостей в WordPress называется межсайтовый скриптинг, а в Apache Struts — проблемы с проверкой входных данных.
• Проекты на языках PHP и Java лидируют по числу уязвимостей с существующими эксплоитами.
• В 2019 году общее число уязвимостей уменьшилось, но доля уязвимостей с эксплоитами возросла c 3.9% до 8.6%, в основном за счёт роста числа эксплоитов для Ruby on Rails, WordPress и Java.
• Наиболее распространённой уязвимостью в выборке за 10 лет является межсайтовый скриптинг (XSS). В выборке за 5 лет лидируют уязвимости, вызванные некорректной проверкой входных данных (24% всех уязвимостей с эксплоитами), а XSS опустился на 5 место.
• Уязвимости, позволяющие осуществить подстановку SQL, кода и команд, относительно редки, но лидируют по показателям наличия эксплоитов — для более 50% подобных уязвимостей подготовлены эксплоиты (60% для подстановки команд и 39% для подстановки кода).