Of u nu een e-handelaar, een administratie of een autofabrikant, je kernwaarden (boekhouding, supply chain, klantgegevens, informatie,) worden verwerkt, opgeslagen en doorgegeven via uw internet-toepassingen en meer in het algemeen dankzij uw IT-systeem. Web applicaties zijn natuurlijk websites als zakelijke en logica interne applicaties, intranetten, extranetten, portals Het is een feit: meer en meer bedrijven en overheden hebben de neiging om hun IT infrastructure.
But webize er tegenhangers: openheid brengt gevaren en bedreigingen die vaak worden onderschat Web protocollen niet secureMore dan 80% van alle malware die in het afgelopen jaar focus op applicatie-niveau kwetsbaarheden (verschillende bronnen, 2006). In juni 2006, 92 SQL-injectie en 34 cross-site scripting (XSS) nieuwe kwetsbaarheden werden opgenomen op onze database (Secunia) Deze echte bedreigingen leiden tot: private diefstal van gegevens, illegaal gebruik van uw website (bijvoorbeeld om verboden inhoud of spam te hosten relais), website defacement, e-commerce website misbruik, onbeschikbaarheid, Major bedreigingen zijn: Cross-site scripting (XSS) - willekeurige code injectie in scripts SQL-injectie - lezen of te wijzigen databases Command injectie - ongeautoriseerde commando uitvoering Parameter /vorm knoeien - verzenden valse argumenten om de toepassing Cookie /header knoeien - HTTP velden gebruiken om valse waarden naar de webserver Buffer overflow te sturen - vol buffergeheugen Directory traversal /krachtige browsing - toegang tot buiten de toepassing 'Attack verduistering' - aanval voordoen, bijvoorbeeld via URL encodingVery bekende security principes zijn vertrouwelijkheid, beschikbaarheid, integriteit en controleerbaarheid.
HTTP- en HTTPS-protocollen geven slechte resultaat op deze aspecten. Webprotocollen nauwelijks authenticeren, slechts gedeeltelijk garanderen vertrouwelijkheid en integriteit, en kwaadaardige SSL-verkeer zal onwettige blijven wanneer verwerkt door uw website Houd in gedachten dat een URL die door de browser is een command line naar uw webserver: bijvoorbeeld een URL genereren van een SQL-commando of het activeren van een