Der Studie zufolge wurden in dem Messzeitraum von sechs Monaten zwischen 130.000 und 385.000 einzelne Angriffe pro Monat über die 40 beobachteten Webapplikationen festgestellt. Zu Spitzenzeiten waren also einzelne Unternehmensapplikationen bis zu 38.000 mal pro Stunde oder zehn Mal pro Sekunde unter Beschuss.

Imperva hat zwei unterschiedliche Typen von Angriffen auf Web-Anwendungen ausgemacht: Comment-Spamming und E-Mail-Extraction. Comment-Spamming platziert bösartige Links in das Kommentar-Feld, um Suchmaschinen-Ergebnisse zu verändern. E-Mail Extraction erstellt eine Liste von E-Mail-Adressen für Spam-Attacken. Auf diese Typen entfielen 14 Prozent aller untersuchten Angriffe auf Geschäftsanwendungen.

Hacker nutzen fünf bekannte Software-Schwachstellen, um unbefugt in die Systeme einzudringen. Bei den meistgenutzten Schwachstellen handelt es sich um Remote File Inclusion (RFI), SQL Injection (SQLi), Local File Inclusion (LFI), Cross Site Scripting (XSS) sowie Directory Traversal (DT). Die beiden letzten Schwachstellen sind die am weitesten verbreiteten Angriffswege, da sie die niedrigste Sicherheitshürde für Cyberkriminelle bieten.