Specialistii CERT (Computer Emergency Response Team) au publicat o statistica a vulnerabilitatilor procesate de diverse institutii si organizatii in 2006. Conform rapoartelor inaintate de sursele publice si private care au colaborat cu CERT, au fost inregistrate 8.064 vulnerabilitati, o crestere de 35% fata de numarul celor identificate in anul precedent.

Alte baze de date ca National Vulnerability Database , Open-Source Vulnerability Database sau Symantec Vulnerability Database au inregistrat cresteri de 20 pana la 35% pentru anul 2006 comparativ cu 2005.

"Un factor determinant pentru cresterea numarului de vulnerabilitati din aplicatiile web si nu numai, este faptul ca pot fi identificate foarte usor" apreciaza dl. Art Manion, coordonator ale echipei CERT de identificare a vulnerabilitatilor. "Vulnerabilitatile web sunt usor de identificat, de reprodus si usor de exploatat".

Cresterea numarului de vulnerabilitati pentru 2006 nu este o surpriza pentru cercetatorii in securitate. Aceeasi evolutie s-a observat in 2005 comparativ cu anul precedent, responsabilitatea fiind de asemenea atribuita vulnerabilitatilor web. In prima jumatate a anului 2006, mai mult de trei sferturi din vulnerabilitatile software afectau aplicatiile online, conform cercetarilor derulate de compania Symantec.

Citeste si:

Simpla examinare a codului sursa sau folosirea Google code search poate duce la identificarea unui mare numar de vulnerabilitati de securitate, oferind chiar si programatorilor neexperimentati posibilitatea de a exploata brese de securitate. Organizatiile care administreaza bazele de date cu vulnerabilitati au fost asaltate de rapoarte provenind de la diverse persoane care deruleaza cercetari in domeniu, unele chiar folosind programe de cautare a secventelor de cod pentru a descoperi brese de securitate in aplicatiile open-source; in unele cazuri insa acestea se dovedesc a fi alarme false.

In vreme ce programatorii cu un nivel scazut de experienta se concentreaza pe aplicatii web, alti cercetatori studiaza parti ale sistemelor de operare si ale aplicatiilor folosite de un mare numar de utilizatori. Instrumentele cunoscute sub denumirea de "fuzzers", au devenit foarte populare pentru testarea problemelor software cauzate de datele de intrare pentru diverse aplicatii.

Foarte multi cercetatori amatori pot descoperi vulnerabilitati de securitate, dar pentru programele foarte elaborate, acestea sunt greu de identificat si presupun eforturi sustinute, consum de timp si resurse. Multe vulnerabilitati web sunt descoperite in aplicatii care nu sunt folosite de marile companii, fiind afectate in principal mici firme sau magazine online. Aplicatiile scrise in PHP sunt afectate de 43% din vulnerabilitatile pentru anul 2006.

PHP este folosit in aplicatiile create de diverse comunitati online, dar si de giganti ca Yahoo! sau Google. Sistemele de operare si aplicatiile continua sa fie afectate de malware. Desi numarul lor este destul de redus, vulnerabilitatile "zero-day " au avut un impact deosebit, fiind folosite in atacuri lansate impotriva marilor companii.