Web-applikationer omfatter naturligvis hjemmesider samt forretnings- og logik interne applikationer, intranet, ekstranet, portaler Det er en kendsgerning: flere og flere virksomheder og administrationer har en tendens til webize deres it infrastructure.But der er modparter: at være åben bringer farer og trusler der er ofte undervurderet Web protokoller er ikke secureMore end 80% af al malware, der opstod i det forløbne år fokus på anvendelsesorienteret niveau sårbarheder (forskellige kilder, 2006).
I juni 2006, 92 SQL injektion og 34 cross-site scripting (XSS) nye sårbarheder blev optaget på vores database (Secunia) Disse reelle trusler resulterer i: privat tyveri af data, ulovlig brug af din hjemmeside (for eksempel for at være vært for forbudte indhold eller spam relæer), website defacement, e-handel website misbrug, utilgængelighed, Major trusler kan nævnes: cross-site scripting (XSS) - vilkårlig kode injektion i scripts SQL injektion - læse eller ændre databaser Kommando injektion - uautoriseret kommando udførelse Parameter /formular manipulation - at sende falske argumenter for, at begæringen Cookie /header manipulation - HTTP felter bruger til at sende falske værdier til webserveren Buffer overflow - overfyldte bufferhukommelse Register traversal /insisterende browsing - adgang uden ansøgningen "Attack formørkelse" - angreb maskeret, fx via URL encodingVery velkendte sikkerhedsmæssige principper er fortrolighed, tilgængelighed, integritet og revisionsmulighed.
HTTP og HTTPS-protokoller giver dårligt resultat på disse aspekter. Web protokoller næppe godkende, kun delvist garantere fortrolighed og integritet, og ondsindede SSL-trafik vil forblive illegitime når behandles af dit websted Husk på, at en URL sendt af en browser er en kommandolinje til din webserver: for eksempel en URL genererer et SQL-kommando eller aktivere en CGI script.At sidste, web-protokoller ikke pålægger input valider