Web 應用程序中存在安全風險的原因有什么

Web應用程序中存在安全風險的原因有：

• 不成熟的安全意識：近年來，人們對Web應用程序安全問題的意識有所增強，但與網絡和操作系統這些發展更加完善的領域相比，人們對Web應用程序安全問題的意識還遠不夠成熟。雖然大多數IT安全人員掌握了相當多的網絡安全與主機強化基礎知識，但他們對與Web應用程序安全有關的許多核心概念仍然不甚了解，甚至存有誤解。當前，在其工作中，Web應用程序開發人員往往需要整合數十甚至數百個第三方數據包，導致他們無法集中精力研究基礎技術。即使是經驗豐富的Web應用程序開發人員，也經常會對所用的編程框架的安全性做出錯誤假設，或遇到一些對他們而言完全陌生的基本缺陷類型。

• 獨立開發：大多數Web應用程序都由企業自己的員工或合作公司獨立開發，即使應用程序采用第三方組件，通常也是使用新代碼將第三方組件進行自定義或拼湊在一起。在這種情況下，每個應用程序都各不相同，并且可能包含其獨有的缺陷。這種情形與組織購買業內一流產品并按照行業標準指南安裝的典型基礎架構部署形成鮮明對照。

• 欺騙性的簡化：使用今天的Web應用程序和開發工具，一個程序員新手也能在短期內從頭開始創建一個強大的應用程序。但是，在編寫功能性代碼與編寫安全代碼之間存在巨大的差異。許多Web應用程序由善意的個人創建，他們只是缺乏發現安全問題的知識與經驗。

• 迅速發展的威脅形勢：Web應用程序攻擊與防御研究發展相對不成熟，是一個正蓬勃發展的領域，其中新概念與威脅出現的速度比傳統的技術要快得多。在客戶端方面尤其如此，針對特定攻擊的公認防御機制往往會在一些研究中失去作用，這些研究最終成就了新的攻擊技巧。在項目開始之初就完全了解了當前威脅的開發團隊，很可能到應用程序開發完成并部署后會面臨許多未知的威脅。

• 資源與時間限制：由于獨立、一次性開發的影響，許多Web應用程序開發項目會受到嚴格的時間與資源限制。通常，設計或開發團隊不可能雇用專職的安全專家，而且由于項目進程的拖延，往往要等到項目周期的最后階段才由專家進行安全測試。為了兼顧各種要素，按期開發出穩定而實用的應用程序的要求往往使開發團隊忽視不明顯的安全問題。小型組織一般不愿多花時間評估一個新的應用程序。快速滲透測試通常只能發現明顯的安全漏洞，而往往會遺漏比較細微、需要時間和耐心來發現的漏洞。

• 技術上強其所難：Web應用程序使用的許多核心技術出現于萬維網早期階段，那時的狀況與目前十分不同。從那以后，其功能已遠遠超越最初的設想，如在許多基于AJAX的應用程序中使用Java Script進行數據傳輸。隨著對Web應用程序功能要求的變化，用于實現這種功能的技術已遠遠落后于其發展要求，而開發人員還是沿用原有的技術來滿足新的需求。因此，這種做法造成的安全漏洞與無法預料的負面影響也就不足為奇了。

• 對功能的需求不斷增強：在設計應用程序時，開發人員主要考慮的是功能和可用性。曾經靜態的用戶資源現在包含社交網絡功能，允許用戶上傳照片，對頁面進行“維基”風格的編輯。以前，應用程序設計人員可以僅僅通過用戶名和密碼來創建登錄功能，而現今的站點則包含密碼恢復、用戶名恢復、密碼提示，以及在將來訪問時記住用戶名和密碼的選項。無疑，這類站點聲稱能夠提供各種安全功能，但實際上，這些功能不過是增大了該站點的受攻擊面而已。

• Web應用程序體系結構設計不當：Web應用程序向設計人員和開發人員提出了許多挑戰。HTTP是無國界的，這意味著跟蹤每位用戶的會話狀態將成為應用程序的責任。作為先導者，應用程序必須能夠通過某種形式的身份驗證來識別用戶。由于所有后續授權決策都要基于用戶的標識，因此，身份驗證過程必須是安全的，同樣必須很好地保護用于跟蹤已驗證用戶的會話處理機制。設計安全的身份驗證和會話管理機制僅僅是Web應用程序設計人員和開發人員所面臨的眾多問題中的兩個方面。由于輸入和輸出數據要在公共網絡上進行傳輸，因此還會存在其他挑戰。防止參數操作和敏感數據泄漏是另一些重要問題。

Web應用程序安全的預防措施有以下幾種：

• 確定安全Web應用程序的重要體系結構和設計問題。

• 設計時考慮重要部署問題。

• 制定能增強Web應用程序輸入驗證的策略。

• 設計安全的身份驗證和會話管理機制。

• 選擇適當的授權模型。

• 實現有效的賬戶管理方法，并保護用戶會話。

• 對隱私、認可、防止篡改和身份驗證信息進行加密。

• 防止參數操作。

• 設計審核和記錄策略。

回答所涉及的環境：聯想天逸510S、Windows 10。