Web安全問答（1）

問：Web程序漏洞是怎么形成的

答：Web站點之所以存在如此眾多的安全漏洞，是由下列所示的這些原因造成的：

1、 大部分的中小型網站都是使用某個建站模塊來速成的，而這些通用的建站模塊不僅本身存在各種安全漏洞，而且一些使用它們的建站人員根本沒有在建站完成后對站點起先安全加固。

2、 Web站點開發人員對安全不夠重視，在編寫網頁時，沒有對用戶的輸入進行驗證，沒有對數據的大小、類型和字符串進行規范，沒有限制API函數對系統資源的使用，以及對Web服務器沒有進行相應的資源限制，引起拒絕服務攻擊。

3、 管理員對Web服務器主機系統及Web應用程序本身配置不當，一些中小企業自己管理的Web站點根本沒有足夠的技術人員來管理它們的安全。

4、 當Web站點是托管在某個電信機房時，對它們進行的遠程管理存在安全風險。

5、 Web站點管理員本身技術水平的限制，對各種針對Web站點的安全攻擊不了解，也沒有端正工作態度，沒能對站點進行認真的安全加固，以及進行日常的安全檢查。

6、 Web站點所處網絡大環境的安全設計不合理，以及沒有將安全防范工作融入到站點整個生命周期的各個階段。

7、 企業領導不夠重視，在Web站點的安全防范方面投入的資金太少或不合理，沒有制定一個有效的Web站點安全防范策略，明確Web站點日常管理流程，也沒有對Web站點的管理人員和工作人員進行不斷的安全培訓。

問：Web威脅為什么難以防范

答：針對Web的攻擊已經成為全球安全領域最大的挑戰，主要原因有如下兩點：

1、業務迅速更新，需要大量的Web應用快速上線，而由于資金、進度、意識等方面的影響，這些應用沒有進行充分安全評估。

2、針對 Web的攻擊會隱藏在大量正常的業務行為中，而且使用各種變形偽裝手段，導致傳統的防火墻和基于特征的入侵防御系統無法發現和阻止這種攻擊。