研究顯示，2013年，web應用程序供應商在發現一個漏洞后，平均需要將近兩周的時間發布關鍵的安全更新。

根據瑞士信息安全公司High-Tech Bridge的最新“WEB應用安全趨勢”報告，這個時間比前一年縮短了35%。

2012年為一個關鍵的安全漏洞推出補丁的平均時間為17天，2013年縮短到11天。另外，針對所有風險的平均響應時間為18天，也有了33%的改善。

High-Tech Bridge的這份報告呈現了供應商通知一個漏洞后響應的時間和發布安全補丁的時間。

大多數供應商都會公平、快速地提醒用戶識別出漏洞，但不是全部。

High-Tech Bridge的CEO Ilia Kolochenko表示：“用11天為關鍵漏洞打補丁還是太長。但是，值得慶幸的是，盡管嚴重漏洞的檢測和利用已經變得越來越復雜，但還是有廠商能夠在三小時之內對復雜漏洞做出反應，比如BigTree CMS。”

安全意識逐漸增強

這份最新的報告顯示，供應商對應用安全的重要性的普遍認識正在增長，因為現在在談論安全問題時都會很嚴肅。

報告稱，過去，知名供應商會延期發布安全相關的補丁程序，因為這有助于他們發布具有新功能和漏洞補丁的新版本的軟件。但是在2013年，沒有大的供應商采取了這種安全的優先功能的“危險方法”。

根據High-Tech Bridge的報告，在2013年廠商發布的62個安全公告中，只有三個沒有打補丁。

報告稱，盡管更好的編碼實踐使得在成熟的應用中很難找到嚴重漏洞，但是還是有由于基本的錯誤導致破壞的情況。比如，沒有刪除安裝腳本，使得網絡罪犯危及整個應用程序。

Kolochenko表示：“這就凸顯了獨立安全測試和web應用程序審計的重要性，因為即使是專業的開發人員也可能忘記控制重要的安全點。”

很多以前的這種被評為高風險或關鍵風險的漏洞在2013年的公告中都降級為中等風險，因為攻擊者想利用這種漏洞的話需要先認證或登錄。

Kolochenko表示：“這就證實了web開發人員還需要注意應用程序的安全部分只允許‘可信’團隊的訪問，但實際上有可能是惡意訪問。”

內部應用程序、XSS以及SQLi最容易受到攻擊

High-Tech bridge結合web應用安全測試軟件和滲透測試的統計研究發現，內部應用程序是最容易受到攻擊。

內部應用程序占最容易受到攻擊的應用的40%，其次是內容管理系統的插件和模塊，為30%，小型內容管理系統占25%，大型內容管理系統(比如WordPress)占5%。

跨站腳本(XSS)攻擊和SQL注入(SQLi)漏洞仍是2013年發現的最常見的弱點，分別占所有漏洞的55%和20%。

High-Tech Bridge的首席研究官Marsel Nizamutdinov表示，有90%的大中型內容管理系統很容易受到XSS和SQL的攻擊，因為它們通常不更新或者配置不對。

但是，我們的研究在給這個行業帶來積極影響方面也取得了很大的進步，因為在我們與軟件供應商的努力和協作下，數以萬計的流行的網站已經不再處于風險之中。