Эндрюс и Дж Уиттакер упомянуть в их руководстве к веб-приложений безопасности: Если разработчики только утвердили свои входы к тому, что они ожидают, чтобы быть дано, а не пытаться фильтровать вредоносные входов (если вообще), то 80-90 % уязвимостей веб-приложений уйдет. SQL-инъекция - нет, XSS - нет, параметр фальсификации - ушел.
К сожалению, из поставщиков программного обеспечения в перспективе: запуск нового продукта на время более важно, чем запуск безопасный (d) обеспечение рамках традиционной toolsAccording чтобы CSI /FBI 2006 году исследование: 97% опрошенных компаний и администраций были с помощью антивируса, 98% имеют сетевой брандмауэр, 69% имеют системы обнаружения вторжений. Однако ... 65% из этих организаций подверглись вирусной или шпионских атак, 32% испытали несанкционированный доступ к их внутренним данным и даже 15% пострадали от сетевых вторжений ...
Сетевая безопасность является не безопасность веб-приложений! Периметр сети Брандмауэр не может блокировать все потоки и нападения. В самом деле, как правило, позволяет HTTP потоки (порты 80 и 443) приходят в сетях компании, как это обычно требуется для связи с внешним миром. Как это определенный порт открыт, все больше и больше приложений с использованием этой открытой двери, например, VoIP, а также пиринговых. Это HTTP порт становится реальным бесплатный автомагистрали проникнуть внутренней сети. Все больше и больше приложений (в том числе подозрительных них) заключены в HTTP-трафика.
Это все более HTTP явления! Комплексное IT-безопасности требует многоуровневого approachTwo очень старые пословицы в безопасности являются "наименее привилегии" и "защиты в глубину." Идея состоит в том, чтобы только дать Software достаточно привилегий, чтобы получить работу, а не полагаться только на один механизм безопасности. М. Эндрюс и Дж Уиттакер, Руководство по безопасности Web-приложений Хотя средства безопасности имеют свои пределы, они, как пра