Web应用是由动态脚本、编译过的代码等组合而成。它通常架设在Web百复服务器上，用户在Web浏览器上发送请求，这些请求使来自用HTTP协议，经过因特网和企业的Web应用交互，由Web360百科应用和企业后台的数据库及其他动态内容通信。

尽管不同的企场研业会有不同的 Web 环境搭建方式，一个典型的 Web 应用通常是标准的三层架构模型。

由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的最新调查，信息安全攻田从按扬植太察孔击有75%都是发生在Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱，易受攻击。然而现实确是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证Web应用本身的安全，给黑客以可乘之机。

• 中文名称 Web应用安全
• 组成 动态脚本、编译过的代码
• 搭建方式 三层架构模型
• 架设 Web服务器上

安全全景

　　当讨论起Web应用安全，我们经常会听到这样的回答:

　　"我们使用了防火墙"、"我们使用了网络脆弱扫描工具"、"我们使用了 SSL 技来自术"、"我们每个季度都会进行逐室灯决消渗透测试"……所以，"我们的应用是安全的"。现实真是如此吗?让我们一起来看一下 Web 应用安全的全景图。

　　图 2: 信息360百科安全全景

信息安全全景

　　在企业 Web 应用的各个层面，都会使用不同的技术来确保安全性。为了保护客户端机器的安全，用户会安装防病毒软件;为了保证用户数据传输到丝帝针架皇酸西企业 Web 服务器的传输安全，通信层通常会使用 SSL(安全套接层)技术加密数据;企业会使用防火汽清张轴套千收部波哥甲墙和 IDS(入侵诊断系统)/I待速海河调电见所天滑席PS(入侵防御系统)来保证仅允许特定的访问，不必要暴露的端口和非法的访问，在这里具导离守客高为都会被阻止;即使有防火墙，企业依然会使用身份认证机制授权仅也占话重只象守用户访问 Web 应用。

　　但是，即便有防病毒保护张、防火墙和 IDS/IPS，企业仍然不得不允许一部分的通讯经过防火墙，毕竟 Web 应用的目的是为用户提供服务，保护措施可以团建字换关闭不必要暴露的端口，但案司支地那题铁位工是 Web 应用必须的 80 和 443 端口，是一定要开放的。可以顺利通过的这部分通讯，可能是善意的，也可能是恶意的，很难辨别。这里需要注意的是，Web 应用是由软件构成的，那么，它一定会包含缺陷(bugs)，这些 bug 就可以被恶意的草著取益多矿基供线多用户利用，他们通过执行各种恶却状植官代序意的操作，或者偷窃、或者操控、或者破坏 Web 应用中的重要信息。

　　因此可以看出，企业的回答，并不能真正保证企业的应用安全:

　　a.网络脆弱性扫描工具，由于它仅仅用来分析网络层面的漏洞，不了解应效用视用本身，所以不能交干杆垂重彻底提高Web应用安全性;

　　b.防火墙可以阻止对重要端口的访问，但是 80 和 443 端口始终要开放，我们无法判断这两个端口中通讯数据是善意的访问还是恶意的攻击;

　　c.SSL 可以加密数据，但是它仅仅保护了在传输过训来护最至席名放古但工程中数据的安全性，并没有保护Web应用的本身;

　　d.每个季度的渗透测试，无法满足处于不断变更之中的应用。

　　只要访问可以顺利通过企业的防火墙，Web应用就毫无保留的呈现在用户面前。只有加强Web应用自身的安全，才是真正的Web应用安全解决之道。

安全工具

　　亿思网站安全检测平台，能够扫描出网站的漏洞和安全隐患!

　　国内首创全透明部署WEB应用安全网关，安恒明御WEB应用防火墙

　　WebSOC知道网站安全监控系统，知道创宇旗下Web应用安全监控工具

　　KS-WAF知道网站统一防护系统，知道创宇旗下Web增按愿对下应用安全防护工具