Whittaker nævner i deres Guide til Web Application Security: Hvis udviklere kun valideret deres input til, hvad de forventer at blive givet, snarere end at forsøge at filtrere for ondsindede indgange (hvis overhovedet), så 80-90 % af Web Application sårbarheder ville gå væk. SQL Injection - gået, XSS - væk, parameter manipulation - væk.
Desværre, fra et softwareleverandører perspektiv:! Lancere et nyt produkt til tiden er vigtigere end at lancere en sikker (d) software Grænserne for traditionel toolsAccording til CSI /FBI undersøgelse fra 2006: 97% af adspurgte virksomheder og administrationer brugte en antivirus, 98% har et netværk firewall, 69% har intrusion detection systemer. Men ... 65% af disse organisationer har undergået en viral eller spyware angreb, har 32% oplevet uautoriseret adgang til deres interne data og endda 15% har lidt af netværk indtrængen ...
Netværk sikkerhed er ikke webapplikation sikkerhed! Omkredsen netværk firewall kan ikke blokere alle strømme og angreb. Faktisk er det som regel lader http strømme (port 80 og 443) kommer i virksomhedens netværk som det normalt er nødvendig for kommunikation med omverdenen. Da denne specifikke port er åben, er flere og flere applikationer ved hjælp af denne åbne dør, for eksempel, at VoIP samt peer peer. Denne http port bliver en reel gratis motorvej at trænge interne netværk. Flere og flere applikationer (herunder mistænkelige dem) er indkapslet i HTTP-trafik.
Dette er alt over HTTP fænomen! Omfattende it-sikkerhed kræver en lagdelt approachTwo meget gamle adages i sikkerhed er "mindst privilegier" og "forsvar i dybden." Idéen er at kun give software tilstrækkelige rettigheder til at få arbejdet gjort, og ikke til at stole på én sikkerhedsmekanisme. M. Andrews og J. Whittaker, Guide til Web Application Security Selv sikkerhedsværktøjer har deres begrænsninger, de er som regel nødvendigt at gøre it-sikkerhed infrastruktur stærkere.
Sikkerhed eksperter refererer til it-sikkerhed infrastruktur som ringe