在Web安全方面，面對各種安全漏洞，IT和安全專業人員通常采取防御措施，而缺少積極主動的措施。

[[193402]]

在各種類型和規模的企業中，有些網絡安全人員(包括CIO和其他高管)稱他們會定期掃描其網站和應用。有些人稱他們的應用是正在進行的滲透測試工作的一部分，并感覺這可確保安全性。還有些人認為管理web安全漏洞不是他們的職責，因為網站和應用托管在云端。

我理解前兩種做法，但第三種則不可原諒。企業需要專注于安全工作，特別是安全評估，對web環境的評估可確保安全性，而無論它們托管在哪里。

這個問題是可以解決的。首先，現在有很多非常好的在線資源可提升網絡安全狀態，例如OWASP Top 20和OWASP WebGoat項目。

我發現有些人從未聽說過OWASP，他們不了解它可為其信息安全計劃帶來的價值。如果您希望提高網絡安全狀態，對于初學者來說，我建議您查看OWASP Top 10以及其網站上其他資源。OWASP Top 10仍然還是2013年版，目前新版本正在公開征詢階段，計劃在2017年8月之前發布。

如果您想要了解應該學習哪些web安全漏洞，Foundstone軟件應用安全服務工具(例如Hacme Bank)是非常不錯的工具。雖然它們已經過時，但仍然有效。您可關注這些資源和其他免費工具。

在web安全方面，您無法修復您不知道的網絡漏洞。測試web安全漏洞應該被視為獨立的計劃，至少對于核心或關鍵應用是這樣。這意味著您需要將個別應用作為獨立項目進行測試。

我看到太多掃描(通常使用通用網絡漏洞掃描程序執行)和滲透測試掩蓋了企業web應用的重要部分。基于您web系統的可視性，以及高潛在風險，您應該花時間對應用進行測試，無論是否使用用戶身份驗證。您應該在代碼中先查找明顯的漏洞，然后再找不那么明顯的漏洞。

下面是內部和云技術應用、營銷網站及其隨附內容管理系統中最常見的web安全漏洞，以及網絡基礎設施系統和物聯網設備中經常被忽視的問題：

1.跨站腳本，這可方便客戶端漏洞利用。

2.SQL注入，這可允許直接的數據庫連接以及遠程命令提示符。

3.低強度或默認密碼以及弱密碼策略，包括無入侵者鎖定，這可方便密碼破解。

4.糟糕設計的密碼重置功能，這可被攻擊者操縱或者用于創建不必要的密碼泄露。

5.用戶會話管理問題，例如使用在初次登錄和注銷后未更改的cookie，這可通過中間人攻擊或本地瀏覽器操縱被攻擊者利用。

6.開放代理(內部和外部)，允許人們使用您的網絡進行web訪問或者繞過內部安全控制

7.輸入驗證漏洞，可方便HTTP重定向和幀注入

8.網絡表單缺乏CAPTCHA，這可創造電子郵件拒絕服務攻擊。

還有缺少OS和應用修補程序，雖然這并不直接相關，但這會影響Web安全性，因此請務必對其進行測試。

Web安全的目標不是尋找所有系統中的所有漏洞。您需要專注于尋找重要應用和系統中的緊急web安全漏洞。當您專注于緊急和重要漏洞時，根據80/20定律，通過查找并解決20%的漏洞，您可解決它們制造的80%的問題。

在您控制好后，您可進一步查找所有web系統中的漏洞。您可使用Nmap或SoftPerfect Network Scanner等工具進行端口掃描，以尋找在通常端口(例如80、443和8080)運行的網站和應用。您會發現大量您可能不知道的系統，掃描這些系統，并查看它們包含的漏洞。即使是多功能打印機和復印機的web端口都可能帶來風險。如果您沒有找到任何漏洞，說明您不夠用心，或者沒有使用正確的工具(即專業web漏洞掃描儀，例如Netsparker和Acunetix Web安全掃描儀)。

從開發和質量保證一直到測試和持續監督，您需要將安全視為整體安全計劃的核心組件，否則您將繼續面臨外部攻擊者、惡意內部人員和惡意軟件帶來的風險。

請不要再使用通用掃描和測試，這非常重要。專業掃描測試不僅會發現更多漏洞，還能讓您更好的了解您的網絡，從而先解決最重要的風險。