一项对2010年至2019年之间所有漏洞披露进行分析的研究发现,在野外被武器化和利用的所有安全漏洞中,约有55%是针对两个主要应用程序框架的,即WordPress和Apache Struts。
根据风险分析公司RiskSense本周发布的一份报告,Drupal内容管理系统排名第三,其次是Ruby on Rails和Laravel。
就编程语言而言,PHP和Java应用程序中的漏洞是过去十年中武器最多的错误。
密切关注NODE.JS和DJANGO
最少的是JavaScript和Python中的错误,但RiskSense预计,随着这两种语言现在已变得广泛和流行,并且其采用率已经激增,这种情况将在未来几年内改变。
更具体地说,用户和安全公司应密切注意Node.js和Django,这两个分别是JavaScript和Python生态系统最流行的应用程序框架。
RiskSense表示:“ Node.js的漏洞数量明显高于其他具有56个漏洞的JavaScript框架,尽管迄今为止只有一个被武器化。”
“同样,Django仅使用一种武器就具有66个漏洞。
RiskSense表示:“虽然武器化程度仍然很低,但这些框架中的大量漏洞使它们容易遭受潜在风险的侵害。”他预计,黑客将把目光投向编程界的新星,并考虑将其中的旧bug武器化。试图破坏当今的JavaScript和Python应用程序。
为了顺应过去十年的编程趋势,RiskSense还指出,在2010年代初流行的Perl和Ruby编程语言,随着该十年的结束以及随着程序员转向JavaScript的武器利用越来越少和Python。
注入漏洞是最受追捧的
但是RiskSense的研究人员不仅查看了正在被武器化的应用程序错误。他们还研究了漏洞类型。
根据研究小组的说法,跨站点脚本(XSS)错误是2010年代披露的最常见的安全错误,但它们并不是武器最多的错误。
该标题涉及“基于注入”的漏洞,该漏洞可被滥用以允许黑客在受害者的应用程序或操作系统的上下文中注入并运行自己的命令。
RiskSense团队说:“与SQL注入,代码注入和各种命令注入相关的漏洞仍然很少见,但武器化率最高,通常超过50%。”
研究人员补充说:“实际上,按武器装备率排名前三的弱点是命令注入(武器装备占60%),操作系统命令注入(武器装备占50%)和代码注入(武器装备占39%)。”
有兴趣了解过去十年漏洞武器化趋势的更多读者,可以在RiskSense的长达22页的报告中找到更多信息,该报告名为“基础中的漏洞:Web和应用程序框架漏洞”。
*编译:Domino
*来自:ZDNET