2011年公開報道的新的安全漏洞的數量下降了20%，但一項由惠普公司進行的關于自定義Web應用程序的分析顯示，自定義Web應用程序容易產生各種常見的編碼錯誤。

惠普警告安全專業人士，不要因為公開報道上整體漏洞的減少而對安全產生錯誤的感覺。根據2011年惠普網絡安全風險報告(HP2011CyberSecurityRisksReport)，漏洞數量的下降可以歸因于多種因素，包括軟件安全方面的改進和不斷變化的漏洞信息披露趨勢，后者可能會造成相當數量的漏洞未統計。該報告于上周發布，對來自開源漏洞數據庫(OpenSourceVulnerabilityDatabase，OSVDB)、惠普DVLabs的零日計劃和惠普Fortify的網絡安全研究人員的數據進行了詳細的分析。

盡管2006年以來，在商業上可用的網絡應用程序的漏洞數量一直在下降，但由惠普Fortify部門進行的、關于超過359個獨特的自定義Web應用程序的審查，卻向我們展示了不同的一面。分析發現，許多自定義的Web應用程序中蔓延著常見的編碼錯誤，這使它們容易出現跨站點腳本和SQL注入攻擊。

對自定義的Web應用程序進行靜態分析后發現，超過一半的應用程序在跨站點腳本方面是非常脆弱的，且86%的程序都很難抵御注入漏洞。自定義應用程序也容易受到不安全的直接對象引用漏洞，且幾乎它們都容易遭遇信息泄漏和錯誤處理不當。動態分析(即通過執行實時數據來評估程序)發現，66%以上的程序易受不安全通信的漏洞影響。“99%的黑客攻擊是為了進行信息收集，所以這并非是微不足道。”報告中寫道。

惠普稱，數據顯示，自定義Web應用程序的編碼錯誤是非常普遍的，攻擊者們越來越多的以它們為攻擊目標。從2010年至2011年，Web應用攻擊增長了近50%。觀察到的總攻擊的13%是由TippingPointIPS的客戶和蜜罐組成的，它們過去是為趨勢分析和新興威脅檢測捕捉新漏洞的?；萜瞻l現許多攻擊是由黑洞漏洞工具包(BlackHoleExploitKit)驅動的，它是一個自動攻擊工具包，因傳播宙斯，Cutwail，Spyeye，和Carberp僵尸而出名。

“任何規模級別的企業仍面臨著基本安全錯誤問題，如信息泄漏和不安全的通信”，報告中寫道，“應采取措施，以確保應用程序中沒有那些潛在的對攻擊者而言重要的資料。最終的解決方案應是將安全嵌入在發展過程中，而不是做表面功夫。”

該報告調查發現，在部署補丁程序方面，或為防止執行跨站點腳本攻擊而支持內置到微軟InternetExplorer8中的新的瀏覽器安全功能方面，網站管理員們是失敗的。

在2011年披露的十大商業漏洞名單上，AdobeShockwave位列第一。接下來的是蘋果QuickTime錯誤，HPDataProtector缺陷和甲骨文的Java漏洞。這些信息來源于HPDVLabs零日計劃，該計劃的內容是從安全研究人員那里購買漏洞信息，然后再免費的將信息提供給受影響的廠商。而RealNetworks公司的RealPlayer，Adobe公司的Reader，微軟的IE，微軟OfficeNovelliPrint和惠普OpenView錯誤“填補”了ZDI商用產品十大漏洞名單上的其余空位。