1。網(wǎng)絡應用的發(fā)展歷史

　　在互聯(lián)網(wǎng)發(fā)展的早期階段，萬維網(wǎng)由網(wǎng)站組成，這些網(wǎng)站基本上是包含靜態(tài)文檔的信息庫。  后來，人們發(fā)明了網(wǎng)絡瀏覽器，通過它可以檢索和顯示那些文檔。這個相關的信息流只從服務器向瀏覽器單向傳輸。  大多數(shù)網(wǎng)站不驗證用戶的合法性，因為沒有必要這樣做；所有用戶都受到平等對待，并提供相同的信息。  創(chuàng)建網(wǎng)站帶來的安全威脅主要與網(wǎng)絡服務器軟件的漏洞有關。 

　　攻擊者無法通過入侵網(wǎng)站獲得任何敏感信息，因為存儲在服務器上的信息可以被公開查看。  因此，攻擊者經(jīng)常修改服務器上的文件來歪曲網(wǎng)站的內(nèi)容，或者利用服務器的存儲容量和帶寬來傳播“非法軟件”  今天的萬維網(wǎng)與早期的萬維網(wǎng)完全不同。網(wǎng)絡上的大多數(shù)網(wǎng)站實際上都是應用程序。  它們功能強大，實現(xiàn)了服務器和瀏覽器之間的雙向信息傳輸。  它們支持注冊和登錄、金融交易、搜索和用戶創(chuàng)建的內(nèi)容  用戶獲取的內(nèi)容是以動態(tài)形式生成的，通?？梢詽M足每個用戶的特殊需求。  他們處理的許多信息都是隱私和高度敏感的  因此，安全問題至關重要:如果人們認為網(wǎng)絡應用程序會將他們的信息泄露給未經(jīng)授權(quán)的訪問者，他們將拒絕使用網(wǎng)絡應用程序。  

　　網(wǎng)站開發(fā)帶來了新的主要安全威脅  應用程序不同，漏洞也不同。  許多應用程序是由開發(fā)人員獨立開發(fā)的，許多應用程序開發(fā)人員對他們編寫的代碼可能導致的安全問題知之甚少。  為了實現(xiàn)核心功能，網(wǎng)絡應用通常需要與內(nèi)部計算機系統(tǒng)建立連接  這些系統(tǒng)保留了高度敏感的數(shù)據(jù)，可以執(zhí)行強大的業(yè)務功能。  十五年前，如果你需要轉(zhuǎn)賬，你必須去銀行，并要求銀行工作人員幫助你完成交易。  今天，您可以訪問銀行的網(wǎng)絡應用程序，并自己完成轉(zhuǎn)賬交易。  進入網(wǎng)絡應用程序的攻擊者可以竊取個人信息、實施金融欺詐或?qū)ζ渌脩魧嵤阂庑袨椤?/span>

　　2，網(wǎng)絡應用安全

　　像任何新興技術一樣，網(wǎng)絡應用也帶來了一系列新的安全漏洞  這些共同的差距也“與時俱進”。一些開發(fā)人員在開發(fā)現(xiàn)有應用程序時沒有考慮到的攻擊層出不窮。由于安全意識的加強，一些問題得到了解決。  新技術的發(fā)展也會帶來新的漏洞。  網(wǎng)絡瀏覽器軟件的改進基本上消除了一些缺陷。  對Wb應用程序的最嚴重的攻擊是那些能夠暴露敏感數(shù)據(jù)或獲得對運行該應用程序的后端系統(tǒng)的無限制訪問的攻擊。  這種高針對性的攻擊經(jīng)常發(fā)生，但是對于許多組織來說，任何導致系統(tǒng)中斷的攻擊都是一個重大事件。  

　　通過實施應用程序級別的拒絕服務攻擊，可以實現(xiàn)與針對基礎架構(gòu)的傳統(tǒng)資源耗盡攻擊相同的目的  然而，實施這些攻擊通常需要更復雜的操作，并且主要針對特定目標。  例如，這些攻擊可用于摧毀特定用戶或服務，從而在金融和貿(mào)易、賭博、在線競價和訂票等領域獲得競爭優(yōu)勢。  

　　在整個開發(fā)過程中，沒有關于知名的網(wǎng)絡應用程序遭到破壞的報道。  情況似乎沒有改善，也沒有跡象表明這些安全問題已經(jīng)得到解決。  可以說，網(wǎng)絡應用安全領域是當今計算機資源和數(shù)據(jù)維護者之間最重要的戰(zhàn)場，這種情況在可預見的將來還會繼續(xù)。