問(wèn)：Web程序漏洞是怎么形成的

答：Web站點(diǎn)之所以存在如此眾多的安全漏洞，是由下列所示的這些原因造成的：

1、 大部分的中小型網(wǎng)站都是使用某個(gè)建站模塊來(lái)速成的，而這些通用的建站模塊不僅本身存在各種安全漏洞，而且一些使用它們的建站人員根本沒(méi)有在建站完成后對(duì)站點(diǎn)起先安全加固。

2、 Web站點(diǎn)開(kāi)發(fā)人員對(duì)安全不夠重視，在編寫網(wǎng)頁(yè)時(shí)，沒(méi)有對(duì)用戶的輸入進(jìn)行驗(yàn)證，沒(méi)有對(duì)數(shù)據(jù)的大小、類型和字符串進(jìn)行規(guī)范，沒(méi)有限制API函數(shù)對(duì)系統(tǒng)資源的使用，以及對(duì)Web服務(wù)器沒(méi)有進(jìn)行相應(yīng)的資源限制，引起拒絕服務(wù)攻擊。

3、 管理員對(duì)Web服務(wù)器主機(jī)系統(tǒng)及Web應(yīng)用程序本身配置不當(dāng)，一些中小企業(yè)自己管理的Web站點(diǎn)根本沒(méi)有足夠的技術(shù)人員來(lái)管理它們的安全。

4、 當(dāng)Web站點(diǎn)是托管在某個(gè)電信機(jī)房時(shí)，對(duì)它們進(jìn)行的遠(yuǎn)程管理存在安全風(fēng)險(xiǎn)。

5、 Web站點(diǎn)管理員本身技術(shù)水平的限制，對(duì)各種針對(duì)Web站點(diǎn)的安全攻擊不了解，也沒(méi)有端正工作態(tài)度，沒(méi)能對(duì)站點(diǎn)進(jìn)行認(rèn)真的安全加固，以及進(jìn)行日常的安全檢查。

6、 Web站點(diǎn)所處網(wǎng)絡(luò)大環(huán)境的安全設(shè)計(jì)不合理，以及沒(méi)有將安全防范工作融入到站點(diǎn)整個(gè)生命周期的各個(gè)階段。

7、 企業(yè)領(lǐng)導(dǎo)不夠重視，在Web站點(diǎn)的安全防范方面投入的資金太少或不合理，沒(méi)有制定一個(gè)有效的Web站點(diǎn)安全防范策略，明確Web站點(diǎn)日常管理流程，也沒(méi)有對(duì)Web站點(diǎn)的管理人員和工作人員進(jìn)行不斷的安全培訓(xùn)。

問(wèn)：Web威脅為什么難以防范

答：針對(duì)Web的攻擊已經(jīng)成為全球安全領(lǐng)域最大的挑戰(zhàn)，主要原因有如下兩點(diǎn)：

1、業(yè)務(wù)迅速更新，需要大量的Web應(yīng)用快速上線，而由于資金、進(jìn)度、意識(shí)等方面的影響，這些應(yīng)用沒(méi)有進(jìn)行充分安全評(píng)估。

2、針對(duì) Web的攻擊會(huì)隱藏在大量正常的業(yè)務(wù)行為中，而且使用各種變形偽裝手段，導(dǎo)致傳統(tǒng)的防火墻和基于特征的入侵防御系統(tǒng)無(wú)法發(fā)現(xiàn)和阻止這種攻擊。