Netsparker刚刚发布了一些匿名的Web安全统计数据，这些统计数据是关于他们的在线解决方案在过去3年中在其用户的Web应用程序和Web服务上发现的安全漏洞。

  　　

 

这些基于数据的统计数据（不是基于调查）可能非常有用 - 至少可以全面了解正在发生的事情。这些统计数据还有一个坚实的目的 - 它们可以帮助所有开发人员，

安全专业人员和使用Web应用程序的任何人更好地了解可能出现的问题。

XSS比SQL注入更常见

根据OWASP最关键的Web应用程序安全漏洞排行榜前10名，SQL注入已成为过去十年中最关键的Web应用程序漏洞（是的，我们还在等待新版本！）。

虽然Netsparker的统计数据向我们表明它是相反的，至少在数量方面。26％的已识别漏洞，确切地说是40,908，是反射和。

只有2％的已识别漏洞是SQL注入。这是一个很大的差异，尽管这不是一个令人惊讶的作者。他们说：

开发人员有很多资源来编写不易受SQL注入攻击的代码，例如预处理语句。默认情况下，新框架可以防止SQL注入，并且很难编写不安全的SQL代码。另一方面，XSS漏洞要解决得更加复杂，即使框架具有内置保护，也很容易出错。

过时且易受攻击的软件仍然是主要的Web应用程序安全风险

更新您的应用程序，服务器和软件 - 苹果，谷歌，微软都在不断努力解决这一问题，但似乎并没有那么大的帮助。

这是最容易遵循的最佳实践之一，尤其是在现代自动更新和补丁管理软件方面。

　

似乎并非如此人们正在跟踪与过时软件相关的已确定问题的5％。

如果和Mossack Fonseca的软件是最新的，去年我们就不会有两个互联网上最大的数据泄露事件。

准确性是更安全的Web应用程序的关键

还有其他几个统计数据，我们可以从中学到一些东西，对我来说有趣的是，Netsparker自动验证了大约80％的已识别漏洞。

误报是自动漏洞和安全扫描中的一个大问题，因为有人必须花费数小时来验证结果并清除误报。通过Netsparker自动执行此操作，较小的团队可以执行更有效的工作，更大的团队可以提高工作效率，减少人工验证。

阅读Netsparker扫描网络安全统计报告

该报告更加详细，并且有更多的统计信息，因此请了解所有数字和常见安全问题，这些问题会使Web应用程序容易受到恶意黑客攻击，并一些尴尬。

参考：

　　　　https://www.netsparker.com/blog/web-security/netsparker-web-security-scan-statistics-2018/

　　　　https://www.netsparker.com/blog/web-security/dom-based-cross-site-scripting-vulnerability/