Meer dan tachtig procent van de websites heeft te maken met één beveiligingslek en bij 61% zijn de kwetsbaarheden zo ernstig, dat ze niet meer aan de PCI-DSS standaard voldoen. Het onderzoek van WhiteHat Security liet naast het bekende feit dat veel websites lek zijn, ook zien dat de aanvallen steeds moeilijker te detecteren worden. Via encodering zijn zelfs eenvoudige vormen van SQL-injectie en cross-sites scripting (XSS) niet meer op te merken.

Gemiddeld hadden de 687 websites die de beveiliger onderzocht vijf beveiligingslekken. XSS is nog altijd het meest voorkomende probleem en werd op 67% van de websites aangetroffen, gevolgd door het lekken van informatie (41%). SQL-injectie is met 17% vijfde, achter content spoofing (21%) en onvoldoende autorisatie (18%). Voor het eerst wist cross-site request forgery een plek in de top 10 te veroveren.

Websites zijn vrij traag met het oplossen van aanwezige beveiligingsproblemen. Zo duurt het gemiddeld 78 dagen voordat een XSS-probleem is opgelost. In het geval van SQL-injectie duurt het 43 dagen. Om de situatie te verbeteren adviseert de beveiliger ondernemingen om veilig te programmeren en ontwerpen, het aanschaffen van een Web Application Firewall en het in kaart brengen van de belangrijkste bedrijfssites en wie er voor de veiligheid verantwoordelijk is.