At ne pas imposer la validation d'entrée, ceci est la principale cause de leur insécurité! Le codage des applications Web sécurisées est un travail difficile pour beaucoup trop de professionnels du développement, la sécurité des applications Web se compose seulement de produire des applications qui sont fonctionnels et stables, ne pas construire la protection de pirate dans le code ou la vérification des vulnérabilités d'injection SQL (SPI Dynamics) protocoles Web ne sont pas sécurité par défaut.
Mais les développeurs d'applications Web pourraient fortement améliorer les normes de sécurité avec de bons principes de codage. Comme M. Andrews et J. Whittaker mentionnent dans leur Guide de Web Application Security: Si les développeurs ne validés leurs entrées à ce qu'ils attendent d'être donné, plutôt que de tenter de filtrer des entrées malveillants (voire pas du tout), puis 80-90 % des vulnérabilités des applications Web disparaîtrait. Injection SQL - disparu, XSS - disparu, paramètre falsification - disparu.
Malheureusement, à partir d'un éditeurs de logiciels point de vue: le lancement d'un nouveau produit sur le temps est plus important que le lancement d'un (d) des logiciels sécurisés Les limites de toolsAccording traditionnel CSI /FBI 2006 Etude: 97% des entreprises interrogées et les administrations ont été l'aide d'un antivirus, 98% ont un pare-feu réseau, 69% ont des systèmes de détection d'intrusion. Cependant ...
65% de ces organisations ont subi une attaque virale ou les logiciels espions, 32% ont connu un accès non autorisé à leurs données internes et même 15% ont subi des intrusions réseaux ... sécurité réseau est pas la sécurité des applications Web! Le réseau de périmètre pare-feu ne peut pas bloquer tous les flux et les attaques. En effet, il permet généralement les flux HTTP (ports 80 et 443) viennent dans les réseaux de l'entreprise car il est habituellement nécessaire pour la communication avec monde extérieur.
Comme ce port spécifique est ouvert, de plus en plus les applications utilisent cette porte ouverte, par exemple, la VoIP ainsi que peer to peer. Ce port http devient une véritable autoroute sans frais pour pénétrer le réseau intern