互联网的快速发展，除了给我们生活带来各种便利，也存在很多网络安全威胁。其中Web应用程序面临诸多威胁，这篇文章就给大家介绍一下Web应用程序威胁有哪些？如何解决？

　　现在几乎所有企业都会在互联网上建立网站，他们不仅通过网站提供信息，而且还通过Web应用程序、博客和论坛与他们的客户进行互动。从网上零售商的互动婴儿注册表，到电子交易网站的投资计算器，或者软件供应商的互动支持论坛，企业每天都会产生新的Web应用程序来使获取信息。
　　以业务为中心的Web互动迅速发展也带来了新的信息安全威胁，而企业以前的静态网页并没有这些威胁。这些威胁主要是针对Web应用程序，包括补充的Web服务器、数据库和其他支持基础设施。
　　在本文中，我们将讨论Web应用程序面临的最严重的威胁以及安全团队应该如何保护应用程序。
　　 Web应用程序面临的紧迫威胁
　　Cenzic、惠普、Imperva、Veracode、Whitehat Security以及Verizon等供应商都评估了当今企业面临的Web应用程序威胁，其中最常见的两种Web应用程序威胁是跨站脚本（XSS）和SQL注入攻击。这两种攻击已经存在多年了，但Web应用程序仍然容易受到它们的困扰。
　　鉴于这两种攻击的广泛影响范围以及丰富的攻击工具，企业必须加强Web应用程序安全性来降低攻击风险。虽然新的Web应用程序威胁也已经出现，但是大多数攻击仍然是利用这些最基本的薄弱点。
　 　如何让Web应用程序更加安全
　　安全团队可以采用一些基本的方法来加强Web应用程序的安全性，包括改善web应用程序开发和部署新工具来帮助管理Web应用程序面临的新信息安全风险。这些方法应该配合使用，而不是单独使用，同时部署其他安全控制。
　　改善Web应用程序开发来提高Web应用程序的安全性应该作为任何软件或安全开发生命周期的一部分。在软件开发生命周期（SDLC）方面有很多资源，例如微软以及美国国土安全部网络安全处提供的资源。开放Web应用程序安全项目（OWASP）也提供了开发指南，包括Development Guide 2010，其中讨论了安全Web应用程序开发的方法。作为软件开发生命周期的一部分，用户可能需要定期检查Web应用程序面对的最普遍的威胁，并且定期更新威胁列表。所有这些技巧都可以用于培训开发人员以改善应用程序，确保最小化安全漏洞，更快发现漏洞和更快修复漏洞。
　　另外，缓解Web应用程序威胁的其他重要方法包括部署新工具来帮助管理web应用程序安全。这些工具可能并不是真正意义上的新工具，但是对于很多企业而言，Web应用程序防火墙和Web应用程序安全扫描仪等产品从来没有列入考虑范围，因为他们能够规避规定使用这些产品的合规要求，或者说因为web威胁从来不是他们的重点关注问题。
　　然而，这些和其他相关的新兴Web防御技术可以成功地阻止web应用程序层攻击以及扫描web应用程序漏洞。Web应用程序安全扫描仪可以涵盖在你的软件开发生命周期测试阶段，或者作为一个独立的项目，以积极地评估你的web应用程序的安全状态。Web应用程序防火墙能够对攻击Web应用程序的网络流量进行检查，阻止最常见的攻击。但是Web应用程序防火墙和Web应用程序安全扫描仪并不能阻止或者检测所有攻击或者漏洞，这些工具需要不断更新以发现新威胁。
　　这些工具扩展你现有安全控制，但同时你应该了解紧迫的威胁如何绕过很多传统的安全控制。例如，如果你允许HTTP通过端口80到你的防火墙再到web服务器，你的防火墙通常无法判断该网络流量是否是合法HTTP流量，或者是否有用于SQL注入攻击的潜在恶意SQL代码。但Web应用程序防火墙可以检测HTTP流量，发现和（多数情况下）阻止大多数SQL注入攻击。请记住，没有哪个单一的安全工具或者控制方法可以保护所有企业的web应用程序，而结合使用Web应用程序防火墙和web安全扫描能够提供坚实的保护，来抵御最常见的XSS和SQL攻击。
　　 结论
　　尽管新web应用程序能让企业与客户进行互动，改善与客户的关系，但这些web应用程序也带来了新的信息安全风险。传统安全控制本身通常无法抵御这些web应用程序威胁，不过，我们对传统控制进行扩展，将web应用程序安全融入软件开发生命周期，并部署新的web应用程序安全工具，可以帮助减小这些威胁的风险。那些没有使用这些技术或者没有计划这样做的企业应该仔细想想：这些应用可能会扩大他们潜在的Web安全威胁。对于当今企业信息安全计划而言，保护web系统免受新型威胁已经成为重要且优先的事项
　　以上就是关于Web应用程序面临的安全威胁有哪些以及如何提升Web应用程序安全的介绍，希望大家阅读完这篇文章之后大有收获，想要了解更多Web安全的问题，可以关注其他文章。

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：mmqy2019@163.com进行举报，并提供相关证据，查实之后，将立刻删除涉嫌侵权内容。

猜你喜欢

• 如何提升服务器的安全？做好这些方面很重要

  这篇文章给大家分享的是如何提升服务器的安全，现在网络攻击越来越多，服务器面临诸多威胁，因此提高服务器的安全等级很重要，下面分享一些提升服务器安全的方法，小编觉得挺实用的，因此分享给大家做个参考，下面我们一起来看看。

• ARP攻击怎么解决？试试这两个办法

  ARP攻击怎么解决？ARP攻击是针对以太网地址解析协议（ARP）的一种攻击技术，也是局域网中最常见的一种攻击方式。黑客通过ARP攻击可以达到窃取数据的目的或者恶意破坏设备的目的，那么当我们电脑遭受ARP攻击要如何解决呢？

• 计算机网络五层协议包括什么，如何理解？

  篇文章给大家分享的是关于计算机网络五层协议的内容，包括应用层、运输层、网络层、数据链路层和物理层。那么这五层协议该怎样理解呢？接下来我们一起来了解看看。

• 服务器维护工作中哪些不好的习惯要避免

  自从互联网诞生以来，黑客就无处不在，有黑客就必然会产生各种攻击，永远不要觉得互联网那么大，攻击不会落在你的头上，那你就错了，攻击无处不在，一旦你的服务器被击溃，对业务产生的影响对自身企业经济造成的损失，可能远比你想的还要多得多。今天就来和大家说说服务器安全防护时需要避免哪些行为呢?

• Apache服务器有哪些安全设置，具体怎样做

  Apache是世界上占用率最大的web服务器软件，以安装、稳定而著称，默认安装后有一些限制较为宽松，可进一步设置加固其安全。1.隐藏版本信息：复制代码 代码如下:ServerSignature off #不输出任何页脚信息ServerTok