Zoals Andrews M. en J. Whittaker vermelden in hun gids voor Web Application Security: Als ontwikkelaars alleen gevalideerd hun inputs op wat ze verwachten te worden gegeven, in plaats van te proberen om te filteren op schadelijke ingangen (of helemaal niet), dan 80-90 % van de webapplicatie kwetsbaarheden zou weggaan. SQL Injection - gegaan, XSS - gegaan, parameter geknoei - verdwenen.
Helaas, vanuit een softwareleveranciers perspectief: de lancering van een nieuw product op tijd is belangrijker dan de lancering van een veilige (d) De software van de grenzen van de traditionele toolsAccording CSI /FBI studie uit 2006: 97% van de ondervraagde bedrijven en overheidsdiensten werden met behulp van een antivirus, 98% heeft een netwerk firewall, 69% heeft intrusion detection systemen. Maar ... 65% van deze organisaties hebben een virale of spyware aanval ondergaan, hebben 32% ongeautoriseerde toegang ervaren om hun interne gegevens en zelfs 15% heeft last van netwerkinbraken ...
Netwerkbeveiliging is niet webapplicatie veiligheid! De perimeternetwerk firewall kan niet alle stromen en aanvallen te blokkeren. Inderdaad, het meestal laat http stromen (poorten 80 en 443) in de netwerken bedrijf komen als het meestal nodig is voor de communicatie met de buitenwereld. Aangezien dit specifieke poort open is, worden meer en meer toepassingen met behulp van deze open deur, bijvoorbeeld VoIP en peer to peer. Dit http-poort wordt een echte tolvrije snelweg naar interne netwerk binnen te dringen.
Steeds meer applicaties (waaronder verdachte degenen) zijn ingekapseld in de http-verkeer. Dit is het alles over HTTP fenomeen! Uitgebreide IT-beveiliging vereist een gelaagd approachTwo zeer oude spreekwoorden in veiligheid zijn "minstens privileges" en "verdediging in de diepte." Het idee is om enige software te geven voldoende bevoegdheden om de klus te klaren, en niet te vertrouwen op slechts één b