Как показывают проводимые сканирования в отношении Web-приложений при проведении внешних и внутренних пентестов, 23% из числа уязвимых Web-приложений требуют устранения уязвимостей путем исправления исходного кода (т.е. содержат уязвимости: SQL-Injection, Cross-Site Scripting, Path Traversal, etc). В целом - это соответствует данным статистики уязвимостей Web-приложений за 2008.
Если же рассматривать совокупное число выявляемых уязвимостей по всем сканируемым системам (ОС, сетевое оборудование, СУБД и пр.), то ~34% из их числа в отношении Web-приложений связаны с несоблюдением парольной политики и ~32% уязвимостей возникают из-за проблем в конфигурации Web-приложений.