Web應(yīng)用安全無疑是一個(gè)重要的問題，也是一個(gè)值得關(guān)注的話題。這個(gè)問題對(duì)所有有關(guān)各方都至關(guān)重要。這里涉及的當(dāng)事人包括互聯(lián)網(wǎng)收入不斷增加的公司，將敏感信息委托給web應(yīng)用程序的用戶，以及通過獲取支付信息或侵入銀行賬戶來竊取巨額資金的犯罪分子。可靠的聲譽(yù)也很重要。沒有人希望與不安全的網(wǎng)站進(jìn)行交易，也沒有組織希望披露其安全漏洞或違規(guī)的細(xì)節(jié)。因此，獲取有關(guān)網(wǎng)絡(luò)應(yīng)用程序當(dāng)前安全狀態(tài)的可靠信息非常重要。

1 .網(wǎng)絡(luò)應(yīng)用的發(fā)展歷史
 
在互聯(lián)網(wǎng)發(fā)展的早期，萬維網(wǎng)由網(wǎng)站組成，網(wǎng)站基本上是包含靜態(tài)文檔的信息庫。后來，人們發(fā)明了網(wǎng)絡(luò)瀏覽器，通過它可以檢索和顯示那些文件。這種相關(guān)的信息流只是單向地從服務(wù)器傳輸?shù)綖g覽器。大部分網(wǎng)站不驗(yàn)證用戶的合法性，因?yàn)闆]必要這么做；所有用戶都被平等對(duì)待，并提供相同的信息。網(wǎng)站創(chuàng)建帶來的安全威脅主要與網(wǎng)絡(luò)服務(wù)器軟件的漏洞有關(guān)。
 攻擊者無法通過入侵網(wǎng)站獲取任何敏感信息，因?yàn)榇鎯?chǔ)在服務(wù)器上的信息可以被公開查看。因此，攻擊者往往通過修改服務(wù)器上的文件來扭曲網(wǎng)站的內(nèi)容，或者利用服務(wù)器的存儲(chǔ)容量和帶寬來傳播非法軟件。今天的萬維網(wǎng)和早期的一萬
網(wǎng)絡(luò)是完全不同的?；ヂ?lián)網(wǎng)上的大部分網(wǎng)站其實(shí)都是應(yīng)用。它們功能強(qiáng)大，實(shí)現(xiàn)了服務(wù)器和瀏覽器之間的雙向信息傳輸。它們支持注冊(cè)和登錄、金融交易、搜索和用戶創(chuàng)建的內(nèi)容。用戶獲取的內(nèi)容是以動(dòng)態(tài)的形式生成的，通常能夠滿足每個(gè)用戶的特殊需求。他們處理的很多信息都是隱私和高度敏感的。因此，安全性至關(guān)重要:如果人們認(rèn)為web應(yīng)用程序會(huì)向未經(jīng)授權(quán)的訪問者透露他們的信息，他們就會(huì)拒絕使用web應(yīng)用程序。
 網(wǎng)站開發(fā)帶來了新的重大安全威脅。不同的應(yīng)用程序有不同的漏洞。很多應(yīng)用都是開發(fā)者獨(dú)立開發(fā)的，很多應(yīng)用開發(fā)者對(duì)自己編寫的代碼可能帶來的安全問題知之甚少。為了實(shí)現(xiàn)核心功能，網(wǎng)絡(luò)應(yīng)用通常需要與內(nèi)部計(jì)算機(jī)系統(tǒng)建立連接，內(nèi)部計(jì)算機(jī)系統(tǒng)保留高度敏感的數(shù)據(jù)，并能執(zhí)行強(qiáng)大的業(yè)務(wù)功能。15年前，如果你需要轉(zhuǎn)賬，你必須去銀行，讓銀行工作人員幫你完成交易。如今，您可以訪問銀行的網(wǎng)絡(luò)應(yīng)用程序，自己完成轉(zhuǎn)賬交易。進(jìn)入網(wǎng)絡(luò)應(yīng)用程序的攻擊者可以竊取個(gè)人信息、實(shí)施金融欺詐或?qū)ζ渌脩魧?shí)施惡意行為。

2。網(wǎng)絡(luò)應(yīng)用安全
 與任何新興技術(shù)一樣，網(wǎng)絡(luò)應(yīng)用也帶來了一系列新的安全漏洞。
這些常見的差距也與時(shí)俱進(jìn)。一些開發(fā)人員在開發(fā)現(xiàn)有應(yīng)用時(shí)沒有考慮到的攻擊層出不窮。由于安全意識(shí)的加強(qiáng)，一些問題得到了解決。新技術(shù)的發(fā)展也會(huì)帶來新的漏洞。網(wǎng)頁瀏覽器軟件的改進(jìn)基本上消除了一些缺陷。對(duì)Wb應(yīng)用程序的嚴(yán)重攻擊是那些可以暴露敏感數(shù)據(jù)或獲得對(duì)運(yùn)行應(yīng)用程序的后端系統(tǒng)的無限制訪問的攻擊。這種針對(duì)性很強(qiáng)的攻擊經(jīng)常發(fā)生，但是對(duì)于很多組織來說，任何導(dǎo)致系統(tǒng)中斷的攻擊都是大事。
 
通過實(shí)施應(yīng)用程序級(jí)別的拒絕服務(wù)攻擊，我們可以達(dá)到與針對(duì)基礎(chǔ)結(jié)構(gòu)的傳統(tǒng)資源耗盡攻擊相同的目的。然而，這些攻擊通常需要更復(fù)雜的操作，并且主要針對(duì)特定目標(biāo)。例如，這些攻擊可以用來破壞特定的用戶或服務(wù)，從而在金融和貿(mào)易、賭博、在線投標(biāo)和預(yù)訂等領(lǐng)域獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。
 
在整個(gè)開發(fā)過程中，沒有關(guān)于知名網(wǎng)絡(luò)應(yīng)用被破壞的報(bào)道。情況似乎并沒有改善，也沒有跡象表明這些安全問題得到了解決?？梢哉f，網(wǎng)絡(luò)應(yīng)用安全領(lǐng)域是計(jì)算機(jī)資源和數(shù)據(jù)維護(hù)者之間的重要戰(zhàn)場(chǎng)，這種情況在可預(yù)見的未來還將持續(xù)。