Mas os desenvolvedores de aplicativos web poderia melhorar fortemente os padrões de segurança com bons princípios de codificação. Como M. Andrews e J. Whittaker mencionar em seu Guide to Web Application Security: Se os desenvolvedores só validou as suas entradas para o que eles estão esperando para ser dada, ao invés de tentar filtrar para entradas maliciosas (se em tudo), em seguida, 80-90 % das vulnerabilidades de aplicativos web seria ir longe. SQL Injection - foi, XSS - foi, manipulação de parâmetros - desaparecido.
Infelizmente, a partir de um software vendors perspectiva: o lançamento de um novo produto no tempo é mais importante do que o lançamento de um (d) software seguro Os limites de toolsAccording tradicional de CSI /FBI 2006 estudo: 97% das empresas entrevistadas e as administrações estavam usando um antivírus, 98% têm um firewall de rede, 69% têm sistemas de detecção de intrusão. No entanto ... 65% destas organizações tenham sofrido um ataque viral ou spyware, 32% experimentaram o acesso não autorizado aos seus dados internos e até mesmo 15% foram vítimas de intrusões de rede ...
A segurança da rede não é segurança de aplicações web! A rede de perímetro firewall não pode bloquear todos os fluxos e ataques. Na verdade, ele geralmente permite que os fluxos HTTP (portas 80 e 443) entram em redes da empresa, uma vez que é normalmente necessário para a comunicação com o mundo exterior. Como esta porta específica está aberta, mais e mais aplicativos estão usando esta porta aberta, por exemplo, VoIP, bem como peer to peer. Esta porta http torna-se uma auto-estrada toll-free real para penetrar rede interna.
Mais e mais aplicações (incluindo as suspeitas) são encapsulados em tráfego HTTP. Este é o tudo sobre o fenômeno HTTP! Segurança de TI abrangente requer um approachTwo camadas adágios muito antigos em segurança são "privilégios mínimos" e "defesa em profundidade". A idéia é só dar software p