Специалисты компании Netsparker опубликовали интересную статистику, которую компания собирает вот уже пять лет. Изучив 396 опенсорсных веб-приложений, компания обнаружила 269 различных уязвимостей и составила своеобразный рейтинг проблем открытого софта.

Как было сказано выше, специалисты Netsparker собирают статистику уже не первый год. Так, в 2014 году компания изучила 235 веб-приложений и обнаружила, что 127 из них уязвимы и в общей сложности содержат 181 баг.

В свежем отчете за 2015 год сообщается об обнаружении 269 уязвимостей, включая два 0-day бага. По итогам изысканий, команда Netsparker опубликовала 114 бюллетеней безопасности, 32 из которых содержат более одной проблемы.

Собранные данные позволили специалистам вывести своеобразный анти-топ проблем, которые чаще всего встречаются в опенсорсных приложениях:

  • 67% или 180 багов от общего числа всех обнаруженных проблем оказались различными XSS-уязвимостями (reflected XSS, stored XSS, DOM-based XSS и XSS via RFI);
  • 20% или 55 уязвимостей оказались SQL-инъекциями;
  • Еще 16 багов относятся к удаленным и локальным проблемам File Inclusion;
  • Также были обнаружены CSRF-уязвимости, баги позволяющие удаленное исполнение произвольного кода (RCE), Open Redirection, инъекции HTTP Header и инъекции Frame.

Также Netsparker сообщает, что наиболее популярными языками в среде open source являются PHP (326) и ASP/ASP.NET (31). Еще 39 приложений написаны с использованием 10+ других языков, включая Java, Ruby on Rails и Python. Наиболее популярным инструментом для работы с БД остается MySQL – его используют 337 изученных приложений, за ним следуют MSSQL (29) и SQLite (5). Как ни странно, NoSQL популярностью вообще не пользуется.

Фото: Ngọc Hà



Оставить мнение