Webbapplikationer inkluderar naturligtvis webbsidor samt affärs- och logik interna applikationer, intranät, extranät, portaler Det är ett faktum: fler och fler företag och förvaltningar tenderar att webize sin IT infrastructure.But finns motsvarigheter: att vara öppen medför faror och hot som ofta underskattas webbprotokoll inte secureMore än 80% av alla skadliga program som uppstod under det senaste året fokus på applikationsnivå sårbarheter (olika källor, 2006).
I juni 2006, 92 SQL-injektion och 34 cross-site scripting (XSS) nya sårbarheter registrerades i vår databas (Secunia) Dessa verkliga hot resulterar i: privata data stöld, olaglig användning av din webbplats (till exempel att vara värd förbjudna innehåll eller skräppost reläer), webbplats förvanskning, e-handel webbplats missbruk, otillgänglighet, Större hot är: Cross-site scripting (XSS) - godtycklig kod injektion skript SQL-injektion - läsning eller modifiera databaser Kommando injektion - otillåten utförande kommandot Parameter /formulär manipulering - skicka falska argument till ansökan Cookie /header manipulering - HTTP fält använder för att skicka falska värden till webbservern buffertspill - fyllda buffertminne katalogtraverse /kraftfull surfa - tillgång utanför programmet "Attack förvirring" - attack maskering, till exempel via URL encodingVery välkända säkerhetsprinciper är sekretess, tillgänglighet, integritet och revisioner.
HTTP och HTTPS-protokoll ger dåligt resultat på dessa aspekter. Webbprotokoll knappast autentisera endast delvis garantera sekretess och integritet, och skadlig SSL-trafik kommer att förbli illegitima när de behandlas av din webbplats Tänk på att en URL skickas med en webbläsare är en kommandorad till din webbserver: till exempel en webbadress som genererar en SQL-kommando eller aktivera ett CGI script.
At sista, webbprotokoll inte innebär validering av indata, är detta den största orsaken till deras osäkerhet! Kodning säkra web