Il Web Application Security Consortium (WASC), un consorzio di imprese impegnate nello studio dei fenomeni e delle tendenze riscontrate nel settore delle vulnerabilità delle web application realizzate su richiesta - ha presentato i dati relativi alle principali classi di attacco in grado di sfruttare web application e testate nell'ambito di penetration test ed altre verifiche, realizzate dalle aziende peratecipanti al consorzio.
Le statistiche riguardano 12.186 siti sui quali sono state riscontrate 97.554 vulnerabilità di tipo applicativo. La metodologia usata si è basata anche su assessment di tipo Black-box e di tipo White-box.
Le vulnerabilità identificate sono state classificate secondo la Threat Classification definita dal consorzio medesimo ed il livello di rischio associato a ciascuna vulnerabilità è basato sul CVSS2.

Più del 13% dei siti sottoposti a verifica sono risultati esposti ad attacchi realizzabili in modo completamente automatizzato.
Il 49 % delle applicazioni esaminate mediante processi automatizzati contiene vulnerabilità di alto livello (e l'esame manuale di tipo White-box ha confermato il dato).
L'analisi approfondita del codice ha evidenziato che il 99% delle applicazioni non è conforme allo standard PCI DDS (Payment Card Industry Data Secutity Standard: quello utilizzato per il settore bancario).
Le più diffuse vulnerabilità sono di tipo Cross-Site scripting, Information Leakage, SQL Injection e HTTP response Splitting.
Le scansioni automatizzate rilevano mediamente 3 vulnerabilità per applicazione, a fronte di 91 scoperte mediante analisi manuali del codice.

http://www.cert-spc.it/index.php/download/pubblicazioni/2057-wascwass2008.html