Фреймворки давно стали незаменимыми помощниками любого программиста. Постоянно обновляющиеся рабочие инструменты, способные приходить на помощь в разработке и тестировании продукта любого направления — что может быть удобнее? Однако, очень часто возникает вопрос, так ли надежны сами представленные библиотеки и модули? Обеспечены ли достаточной защитой платформы, любезно предлагающие свои возможности миллионам специалистов по всему миру?
Apache Struts и World Press оказались в числе самых небезопасных фреймворков. К таким выводам пришла аналитическая лаборатория RiskSence, американское предприятие, специализирующееся на оценке киберугроз различных виртуальных продуктов.
Согласно заявлениям аналитиков, 57% слабых мест в защите изученных платформ пришлось на World Press и Apache Struts. Первый ресурс, оказавшийся в прицеле аналитиков показал уязвимость XSS, а второй фреймворк — некорректную проверку входных данных. Кроме того, оба продукта обладают рядом других уязвимостей, среди которых наибольшую озабоченность вызывают межсайтовое выполнение сценариев. Также оба продукта написаны на PHP и Java — самых излюбленных инструментах кибервзломщиков.
Напомним, что Apache Struts — это популярный фреймворк, имеющий открытый исходный код, предназначенный для работы с Java EE веб-приложениями, существенно расширяющий возможности программирования в плане архитектуры. А Word Press — удобная новостная платформа с большим количеством плагинов, позволяющих реализовать проекты со сложным функционалом. Она также имеет открытый исходный код, написанный на PHP.
Несмотря на общее снижение количества встречаемых во фреймворках уязвимостей, частота их использования при кибератаках ресурсов значительно возросла. В основном это бреши в защите, связанные с SQL-инъекцией, а также инфильтрацией различных команд и внедрением кода.