Web应用成网络安全第一大盲点

　　根据新近公布的一份现实威胁分析报告，Web应用正成为最大的安全盲点。

　　Fortify Software公司进行了6个多月的搜集汇编才得出此报告，所用数据来源于其应用防御系统(Application Defense)的用户，报告指出，与已确定的攻击(如病毒、网络攻击、公共缺陷公布、垃圾邮件或网络钓鱼企图等)相比，有关Web应用问题的数据还很缺乏。

　　在Fortify给出的各类应用攻击列表中，排在最前面的是各种自动“机器人攻击(bots storms)”，这类攻击通常占针对Web应用的所有攻击的50%至70%。这些攻击能随机搜索已知或未知的缺陷，而不需要人工干预，导致其越来越流行。

　　有些类型的攻击数量较少，但更加危险，如跨站点脚本、SQL注入(SQL injection)，以及标准缓冲区溢出。Fortify公司的Brian Chess说，企业必须认识到自己的各种应用的风险，并采取必要的手段来避免危险的安全攻击。有许多调查研究论及了病毒、网络攻击、公共缺陷公布、垃圾邮件和网络钓鱼企图，但很少关注位于防火墙和传统网络安全范畴之外的基于Web的应用。