Специалисты компании Netsparker опубликовали интересную статистику, которую компания собирает вот уже пять лет. Изучив 396 опенсорсных веб-приложений, компания обнаружила 269 различных уязвимостей и составила своеобразный рейтинг проблем открытого софта.
Как было сказано выше, специалисты Netsparker собирают статистику уже не первый год. Так, в 2014 году компания изучила 235 веб-приложений и обнаружила, что 127 из них уязвимы и в общей сложности содержат 181 баг.
В свежем отчете за 2015 год сообщается об обнаружении 269 уязвимостей, включая два 0-day бага. По итогам изысканий, команда Netsparker опубликовала 114 бюллетеней безопасности, 32 из которых содержат более одной проблемы.
Собранные данные позволили специалистам вывести своеобразный анти-топ проблем, которые чаще всего встречаются в опенсорсных приложениях:
- 67% или 180 багов от общего числа всех обнаруженных проблем оказались различными XSS-уязвимостями (reflected XSS, stored XSS, DOM-based XSS и XSS via RFI);
- 20% или 55 уязвимостей оказались SQL-инъекциями;
- Еще 16 багов относятся к удаленным и локальным проблемам File Inclusion;
- Также были обнаружены CSRF-уязвимости, баги позволяющие удаленное исполнение произвольного кода (RCE), Open Redirection, инъекции HTTP Header и инъекции Frame.
Также Netsparker сообщает, что наиболее популярными языками в среде open source являются PHP (326) и ASP/ASP.NET (31). Еще 39 приложений написаны с использованием 10+ других языков, включая Java, Ruby on Rails и Python. Наиболее популярным инструментом для работы с БД остается MySQL – его используют 337 изученных приложений, за ним следуют MSSQL (29) и SQLite (5). Как ни странно, NoSQL популярностью вообще не пользуется.
Фото: Ngọc Hà
