2011年公开报道的新的安全漏洞的数量下降了20%，但一项由惠普公司进行的关于自定义Web应用程序的分析显示，自定义Web应用程序容易产生各种常见的编码错误。

　　惠普警告安全专业人士，不要因为公开报道上整体漏洞的减少而对安全产生错误的感觉。根据2011年惠普网络安全风险报告(HP2011CyberSecurityRisksReport)，漏洞数量的下降可以归因于多种因素，包括软件安全方面的改进和不断变化的漏洞信息披露趋势，后者可能会造成相当数量的漏洞未统计。该报告于上周发布，对来自开源漏洞数据库(OpenSourceVulnerabilityDatabase，OSVDB)、惠普DVLabs的零日计划和惠普Fortify的网络安全研究人员的数据进行了详细的分析。

　　尽管2006年以来，在商业上可用的网络应用程序的漏洞数量一直在下降，但由惠普Fortify部门进行的、关于超过359个独特的自定义Web应用程序的审查，却向我们展示了不同的一面。分析发现，许多自定义的Web应用程序中蔓延着常见的编码错误，这使它们容易出现跨站点脚本和SQL注入攻击。

　　对自定义的Web应用程序进行静态分析后发现，超过一半的应用程序在跨站点脚本方面是非常脆弱的，且86%的程序都很难抵御注入漏洞。自定义应用程序也容易受到不安全的直接对象引用漏洞，且几乎它们都容易遭遇信息泄漏和错误处理不当。动态分析(即通过执行实时数据来评估程序)发现，66%以上的程序易受不安全通信的漏洞影响。“99%的黑客攻击是为了进行信息收集，所以这并非是微不足道。”报告中写道。

　　惠普称，数据显示，自定义Web应用程序的编码错误是非常普遍的，攻击者们越来越多的以它们为攻击目标。从2010年至2011年，Web应用攻击增长了近50%。观察到的总攻击的13%是由TippingPointIPS的客户和蜜罐组成的，它们过去是为趋势分析和新兴威胁检测捕捉新漏洞的。惠普发现许多攻击是由黑洞漏洞工具包(BlackHoleExploitKit)驱动的，它是一个自动攻击工具包，因传播宙斯，Cutwail，Spyeye，和Carberp僵尸而出名。

　　“任何规模级别的企业仍面临着基本安全错误问题，如信息泄漏和不安全的通信”，报告中写道，“应采取措施，以确保应用程序中没有那些潜在的对攻击者而言重要的资料。最终的解决方案应是将安全嵌入在发展过程中，而不是做表面功夫。”

　　该报告调查发现，在部署补丁程序方面，或为防止执行跨站点脚本攻击而支持内置到微软InternetExplorer8中的新的浏览器安全功能方面，网站管理员们是失败的。

　　在2011年披露的十大商业漏洞名单上，AdobeShockwave位列第一。接下来的是苹果QuickTime错误，HPDataProtector缺陷和甲骨文的Java漏洞。这些信息来源于HPDVLabs零日计划，该计划的内容是从安全研究人员那里购买漏洞信息，然后再免费的将信息提供给受影响的厂商。而RealNetworks公司的RealPlayer，Adobe公司的Reader，微软的IE，微软OfficeNovelliPrint和惠普OpenView错误“填补”了ZDI商用产品十大漏洞名单上的其余空位。

(责任编辑：)