How to become an author
Search
Write a publication
Pull to refresh

Comments 8

В статье ссылаетесь на какое-то конкретное исследование? Интересно было бы посмотреть источники
А вообще интересно видеть, что инъекции опять на коне, особенно в БД

Rating is hidden

Добрый день!
В качестве источника данных по CVE использовался NVD NIST, фактически, просто долгосрочный сбор данных про веб уязвимости и их категоризация.
Данные о PoC были были взяты с Github.

Rating is hidden

Данные только по php, по другим (java, go, python) нет?

Rating is hidden

Я фиксировал все данные по CVE для веб-уязвимостей за весну, но, к сожалению или к счастью, в Java, Go, Python и решениях на их основе не нашлось настолько много уязвимостей - тем более высококритичных.

Java:

  stack  | count | severity
---------+-------+----------
 flask   |     3 | LOW
 django  |     1 | MEDIUM
 fastapi |     1 | LOW
 tornado |     1 | HIGH

Go:

 stack | count | severity
-------+-------+----------
 go    |     1 | HIGH
 beego |     1 | CRITICAL

Python:

  stack  | count | severity
---------+-------+----------
 flask   |     3 | LOW
 django  |     1 | MEDIUM
 fastapi |     1 | LOW
 tornado |     1 | HIGH


Но впредь расширю статистику на популярные языки вне зависимости от количества найденных для них уязвимостей :)

Rating is hidden

Что-то не то с таблицей для java)

Rating is hidden

И правда :)
Кидаю актуальную:

 stack  | count | severity
--------+-------+----------
 java   |     9 | MEDIUM
 spring |     1 | HIGH
Rating is hidden

Чем выше severity тем безопаснее?

Rating is hidden

Чем выше severity тем опаснее уязвимость, тут идёт группировка по количеству.

Rating is hidden
Sign up to leave a comment.

Articles

Your account

Sections

Information

Services

Support
© 2006–2025, Habr