Hoewel websites wel steeds veiliger worden, bevat een gemiddelde site anno 2011 nog altijd 79 beveiligingslekken. Dat was in 2010 nog 230 gaten. Het meest voorkomende probleem van afgelopen jaar is net als het voorgaande jaar cross-site scripting. Die lijstaanvoerder wordt op de voet gevolgd door het lekken van informatie. Dit blijkt uit jaarlijks onderzoek van WhiteHat Security, dat ruim 7000 websites van 500 verschillende organisaties heeft onderzocht.

Webwinkels doen het slecht

Webwinkels hebben met gemiddeld 121 gaten de grootste beveiligingsproblemen terwijl banken het veiligst blijken. Toch tellen de gemeten websites van banken nog altijd 17 'serieuze' lekken. Met serieuze beveiligingslekken bedoelt White Hat Security gaten waardoor de website niet voldoet aan de beveiligingsstandaard Payment Card Industry Data Security (PCI DSS). Via dergelijke gaten kunnen kwaadwillenden onder meer inbreken op servers en data buit maken.

Bij 55 procent van alle gemeten website is een vorm mogelijk van cross-site scripting (het op een site injecteren van extern draaiende, eigen code). Ook meer dan de helft (53 procent) van de websites blijkt nog altijd informatie te lekken. Het op twee na grootste probleem is content spoofing, waarbij een aanvaller een website malafide content van elders laat opdienen - zonder gebruik van een xss-gat.

Drie keer sneller opgelost

WhiteHat heeft in het onderzoek ook gekeken naar de tijd die organisaties nodig hebben om beveiligingslekken te dichten. Daarbij valt op dat serieuze beveiligingsprobleem drie keer zo snel worden opgelost dan het jaar ervoor. In 2010 was de gemiddelde 'oplostijd' 116 dagen, dit jaar is dat gereduceerd tot een aantal van 38. Iets minder voortvarend gaat het met het gemiddeld aantal dagen dat een website is blootgesteld aan ten minste één serieus beveiligingslek: dat daalde met slecht 2 dagen naar 233 dagen.

Security-onderzoeker Jeremiah Grossman van WhiteHat stelt vast dat in 71 procent van de gevallen het risico op misbruik viel te voorkomen met behulp van een web application firewall (WAF). Organisaties kunnen zich vrij eenvoudig beter beschermen, door op z'n minst beleid en een bijbehorend programma voor de eigen webbeveiliging op te zetten. Volgens Grossman vallen daarmee ook kosten te besparen.

In 2007 nog 1111 lekken

WhiteHat Security komt sinds 2006 met een jaarlijks Website Security Statistics Report. Daaruit blijkt dat de websites van organisaties ieder jaar weer een stuk veiliger blijken. In 2007 bevatte een website volgens het beveiligingsbedrijf liefst 1111 beveiligingslekken.