我看到的最新研究是在 2008 年由Web 应用程序安全联盟[webappsec.org] 进行的。该研究是根据八个独立的安全评估项目的结果编制的，总样本量为 12186 个来自不同行业的 Web 应用程序。这项研究读起来很有趣，但我会在这里为您总结一些要点：

• 共检测到97554个不同风险级别的漏洞。
• 超过 13% 的已审核网站可以完全自动被入侵。
• 大约 49% 的 Web 应用程序包含在自动扫描期间检测到的高风险级别（紧急和严重）漏洞。
• 至少 88% 的网站存在严重漏洞（根据 PCI-DSS 标准列为紧急、严重或高）。
• 99% 的 Web 应用程序不符合 PCI DSS 标准。

请记住，这些数字大约有四年的历史，而互联网年的四年是一生（换句话说：对它们持保留态度）。话虽如此，我非常怀疑易受攻击网站的百分比是否有任何重大变化。

稍微相关一点，如果您对其他与安全相关的统计数据感兴趣，有两个不错的网站会更频繁地发布报告。

• 一个是 DHS 赞助的网络安全网站[us-cert.gov]，可在此处找到其最新报告(pdf)。
• 另一个（您可能已经熟悉）是开放 Web 应用程序安全项目[owasp.org]，可在此处找到其最新报告。

WhiteHat Security 的 2011 年年度报告有一些关于他们监控的网站的详细统计数据，以及其中有多少是易受攻击的。

以下是一些亮点：

• 84% 的网站在 2010 年至少有 30 天存在漏洞。（换句话说，计算 2010 年网站至少有一个严重漏洞的天数。对于 84% 的网站，这个数字是 30 天或更多。）2010 年每天都有 44% 的人易受攻击。

• 大约一半的银行网站在 2010 年的至少 30 天内易受攻击。2010 年每天有 16% 的网站易受攻击。

• 大多数其他部门与所有网站的总体比率相当。换句话说，银行网站是个例外；其他人都非常相似。

• 2010 年平均每个网站在某一时刻总共有 230 个严重漏洞。2010 年平均每个银行网站总共有 30 个严重漏洞。

• 在已修复的漏洞中，修复它们的中位时间约为 116 天（占用所有网站）。（银行网站的相应数字是 13 天。）但是，许多漏洞尚未修复，因此这些数字可能低估了真正的修复时间。

该报告将严重漏洞定义为按照 PCI-DSS 标准分类为“高”、“严重”或“紧急”严重性的漏洞。

因此，听起来 80% 的网站都容易受到各种攻击。

Veracode 公布了他们分析的网络应用程序的一些数据。这里有一些亮点。

关于遵守 OWASP 标准，该标准规定您的应用程序不应在 OWASP 前 10 名中存在任何漏洞（参见图 24）：

• 16% 的政府 Web 应用程序在 OWASP 前 10 名中未检测到漏洞
• 24% 的金融行业 Web 应用程序在 OWASP 前 10 名中未检测到漏洞
• 28% 的商业 Web 应用程序在 OWASP 前 10 名中未检测到漏洞

（脚注：这是首次将应用程序提交给他们的服务。）

关于遵守 SANS 标准，这要求您在 SANS 前 25 名列表中没有任何漏洞（参见图 25）：

• 18% 的政府 Web 应用程序在 SANS 前 25 名中未检测到漏洞
• 28% 的金融行业 Web 应用程序在 SANS 前 25 名中未检测到漏洞
• 34% 的商业 Web 应用程序在 SANS 前 25 名中未检测到漏洞

该方法在网站上并不清楚。目前尚不清楚有多少不合规的 Web 应用程序易受攻击（或者，就此而言，有多少合规的 Web 应用程序易受攻击）。

他们还报告了他们分析的 Web 应用程序中各种漏洞的流行程度（见表 7）：

• 75% 的政府 Web 应用程序易受 XSS 攻击
• 67% 的金融行业 Web 应用程序易受 XSS 攻击
• 55% 的商业 Web 应用程序易受 XSS 攻击

和

• 40% 的政府 Web 应用程序易受 SQL 注入攻击
• 29% 的金融行业 Web 应用程序易受 SQL 注入攻击
• 30% 的商业 Web 应用程序易受 SQL 注入攻击

简而言之，根据他们的统计数据，似乎至少有 80% 的 Web 应用程序易受攻击。