拥有最多武器化漏洞,而输入验证超越跨站点脚本,成为框架中最常被武器化的弱点。
RiskSense公司的首席执行官Srinivas Mukkamala指出,“即便遵循了最佳应用开发实践,但框架漏洞可导致组织机构发生安全事件。同时,更新框架也会带来危险,因为更改可影响应用程序的行为、外观或内在安全。因此,框架漏洞是最重要的但尚未被完全理解以及常被忽视的企业攻击面的元素之一。”而这些漏洞如被利用,则可造成类似Equifax公司发生的导致1.47亿人员数据遭泄露的严重后果。
报告的数据收集自多种来源,包括RiskSense专有数据、公开的威胁数据库以及RiskSense研究人员和渗透测试人员的研究成果。该报告研究了2010年至2019年11月期间的1662个漏洞。
在过去十年中,单是这两种框架就占据57%的被武器化漏洞。WordPress虽面临多种问题但XSS漏洞是最常见问题,而输入验证是Apache Struts框架的最大风险。它们各自相应的底层语言PHP和Java也是最常被武器化的语言。
虽然和之前相比,2019年的框架漏洞总量下降,但武器化率升至8.5%,而NVD在同一时期的平均武器化率为其一半不到(3.9%)。这种增长主要是因为Ruby on Rails、WordPress和Java中的武器化率增长导致的。
虽然XSS问题是这10年间最常见的漏洞,但在过去5年中跌至第5位。这表明框架在这个重要领域已经取得进展。同时,输入验证成为最大的框架安全风险,占过去5年中所有被武器化漏洞的24%,主要影响Apache Struts、WordPress和Drupal。
总体而言,27.7%的WordPress漏洞被武器化;Apache Struts被武器化的漏洞数量排第三,不过它的总体漏洞武器化率在所有框架中是最高的之一,共有38.6%的Struts漏洞遭武器化。
SaltStack公司的产品管理负责人Mehul Revankar表示,Apache Struts是武器化率最高的应用框架之一是有道理的。它是当代很多web应用的关键依赖关系,目前难以知晓某款应用是否使用该框架。
虽然和SQL注入、代码注入和多种命令注入相关的漏洞仍然非常罕见,但其中一些漏洞的武器化率最高,常常超过50%。事实上,前三大武器化率最高的弱点是命令注入(60%)、OS命令注入(50%)和代码注入(39%)。这使得它们成为攻击者追逐的“座上客”。
例如,2019年,基于Java的Node.js中的漏洞数量要大大低于其它Java框架,共有56个漏洞但被武器化的只有1个。同样,Django共有66个漏洞但被武器化的只有1个。
nVisium公司的首席执行官Jack Mannino表示,“十年来,web应用漏洞已成为越来越成熟的攻击向量。WordPress和Apache Struts实现因过时的插件和库版本而备受诟病。由于在很长时间这些系统仍未被修复更新,因此它们被暴露的几率较高。这些科技的现成利用遍布攻击者工具集,而未来仍将如此。”