13046685510

根据风险分析公司 RiskSense 本周发布的一份报告显示，对 2010 年至 2019 年之间所有披露的漏洞进行分析研究发现，所有被武器化和利用的漏洞中约有 55％ 是针对两个应用程序框架的，即 WordPress 和 Apache Struts。Drupal 内容管理系统排名第三，其次是 Ruby on Rails 和 Laravel。

就编程语言而言，PHP 和 Java 应用程序中的漏洞是过去十年中武器化最多的。

密切关注 Node.JS 和 Django

最少的是 JavaScript 和 Python 中的错误，但 RiskSense 预计，随着这两种语言现在已变得广泛和流行，并且其采用率已经激增，这种情况将在未来几年内改变。

更具体地说，用户和安全公司应密切注意 Node.js 和 Django，这两个分别是 JavaScript 和 Python 生态系统最流行的应用程序框架。

RiskSense 表示：“ Node.js 的漏洞数量明显高于其他具有 56 个漏洞的 JavaScript 框架，尽管迄今为止只有一个已经武器化。同样，Django 具有 66 个漏洞，仅一个被武器化。”

RiskSense 表示：“虽然武器化程度仍然很低，但这些框架中的大量漏洞使它们容易遭受潜在风险的侵害。”他预计，黑客将把目光投向编程界的新星，并考虑将其中的旧 bug 武器化。试图破坏当今的 JavaScript 和 Python 应用程序。

与过去十年的编程趋势相一致，RiskSense 还指出，Perl 和 Ruby 这两种在世纪初很流行的编程语言，现在随着十年的结束，以及程序员转向 JavaScript 和 Python，武器化的开发越来越少。

注入漏洞最受追捧

但是 RiskSense 的研究人员不仅查看了正在被武器化的应用程序错误。他们还研究了漏洞类型。

根据研究小组的说法，跨站点脚本（XSS）错误是 2010 年代披露的最常见的安全错误，但它们并不是武器最多的错误。

RiskSense 团队说：“与 SQL 注入、代码注入和各种命令注入相关的漏洞仍然很少见，但武器化率最高，通常超过 50％。”

研究人员补充说：“实际上，按武器装备率排名前三的弱点是命令注入（武器装备占 60％），操作系统命令注入（武器装备占 50％）和代码注入（武器装备占 39％）。”

有兴趣了解过去十年漏洞武器化趋势的更多读者，可以在 RiskSense 的长达 22 页的报告中找到更多信息，该报告名为“Cracks in the Foundation: Web and Application Framework Vulnerabilities.”。