虽然人们可能会认为，一般的Web应用正在慢慢变得更加安全，但 "事实却没有那么乐观"，一份新的报告发现。虽然受网络漏洞扫描保护的应用正在变得更加安全，但相对较新的目标有更多的漏洞。报告分析主要适用于在web应用程序中发现的高和中等严重程度的漏洞，以及随机选择的5000个扫描目标的周边网络漏洞数据。

不受保护的网站和web应用程序是造成重大安全漏洞的第二大来源，这将导致数十亿的个人记录被窃取。

新目标的出现令人担忧，因为这意味着新开发人员不具备避免漏洞所需的知识。这也表明，这些开发人员在一个不促进web安全的开发结构中工作。

报告称，研究发现25%的抽样目标存在跨站点脚本(XSS)漏洞、脆弱的JavaScript库和与wordpress相关的问题。这意味着网络应用仍然很脆弱，但即便如此，这个数字还是比去年少了30%。

具体来说，报告列出了这些漏洞:

远程代码执行(RCE): 3%(2019年2%的↑)

SQL注入(SQLi): 8%(↓2019年为14%)

目录遍历:4%(2019年2%的↑)

跨站脚本攻击(XSS): 25%(2019年下降33%)

脆弱JavaScript库:33%(↓从2019年的36%下降)

服务器端请求伪造(SSRF): 1%(2019年1%)

跨站请求伪造(CSRF): 36%(从2019年的51%下降到↓)

主机头注入:2.5%(比2019年的4%下降了↓)

WordPress漏洞:24%(比2019年的30%下降了↓)

报告假定有经验的网站开发人员和系统管理员正在取得进展，因为看到SQL注入问题连续第二年减少。

与此同时，对交互式web应用程序的需求也在增长。正因为如此，web应用程序使用了越来越多的客户端技术，JavaScript库的数量也因此不断增加。许多此类库都存在漏洞。它们的作者和用户都知道这些漏洞。然而，大约有25%的web应用程序使用这些脆弱的库。

研究人员比较了服务器端编程语言，得出的结论是“PHP仍然和以前一样流行”，其次是ASP。但是开发人员越来越多地使用其他不太流行的服务器端语言。报告发现:

PHP漏洞的百分比已经下降了很多。网络脆弱性正在增加。

Apache/nginx中的漏洞百分比已经下降了很多。IIS的漏洞百分比正在增长。

大多数公司认为，他们需要做的只是安装一个SSL证书来确保网站的安全。许多人没有意识到他们的网站有多少严重的漏洞，以及恶意的黑客是多么容易入侵。然而，入侵可能会导致窃取敏感数据，破坏公司声誉，并直接攻击公司客户。

我们正非常缓慢地朝着正确的方向前进。漏洞的数量正在减少，但只是逐渐减少。我们离网络安全还有很长的路要走——超过25%的网络应用程序至少存在一个严重的安全漏洞。

保持正确的版本和补丁管理来保证网络资源的安全是不够的。保持web应用程序的安全性要困难得多。大多数漏洞与您使用哪些系统无关，而是与您如何使用它们有关。Web应用程序的漏洞，如SQL注入和远程代码执行，会因为糟糕的设计和编程而出现，即使您选择了最好的软件和组件。

提高web应用程序安全性的最佳方法是在开发生命周期中引入安全性测试自动化。这意味着将web漏洞扫描与问题跟踪器、持续部署环境和类似工具集成在一起。