wordpress和apache struts占所有被武器化和利用的漏洞中的55%-k8凯发天生赢家

wordpress和apache struts占所有被武器化和利用的漏洞中的55%
作者:zdnet 发布时间:2020-03-18

20200319-1.png

根据风险分析公司risksense本周发布的一份报告显示,对2010年至2019年之间所有披露的漏洞进行分析研究发现,所有被武器化和利用的漏洞中约有55%是针对两个应用程序框架的,即wordpress和apache struts。drupal内容管理系统排名第三,其次是ruby on rails和laravel。

就编程语言而言,php和java应用程序中的漏洞是过去十年中武器化最多的。

密切关注node.js和django

最少的是javascript和python中的错误,但risksense预计,随着这两种语言现在已变得广泛和流行,并且其采用率已经激增,这种情况将在未来几年内改变。

更具体地说,用户和安全公司应密切注意node.js和django,这两个分别是javascript和python生态系统最流行的应用程序框架。

risksense表示:“ node.js的漏洞数量明显高于其他具有56个漏洞的javascript框架,尽管迄今为止只有一个已经武器化。”

“同样,django具有66个漏洞,仅一个被武器化。

risksense表示:“虽然武器化程度仍然很低,但这些框架中的大量漏洞使它们容易遭受潜在风险的侵害。”他预计,黑客将把目光投向编程界的新星,并考虑将其中的旧bug武器化。试图破坏当今的javascript和python应用程序。

与过去十年的编程趋势相一致,risksense还指出,perl和ruby这两种在20世纪10年代初很流行的编程语言,现在随着十年的结束,以及程序员转向javascript和python,武器化的开发越来越少。

注入漏洞最受追捧

但是risksense的研究人员不仅查看了正在被武器化的应用程序错误。他们还研究了漏洞类型。

根据研究小组的说法,跨站点脚本(xss)错误是2010年代披露的最常见的安全错误,但它们并不是武器最多的错误。

risksense团队说:“与sql注入,代码注入和各种命令注入相关的漏洞仍然很少见,但武器化率最高,通常超过50%。”

研究人员补充说:“实际上,按武器装备率排名前三的弱点是命令注入(武器装备占60%),操作系统命令注入(武器装备占50%)和代码注入(武器装备占39%)。”

有兴趣了解过去十年漏洞武器化趋势的更多读者,可以在risksense的长达22页的报告中找到更多信息,该报告名为“”。


网站地图