Whittaker nevner i sin guide til Web Application Security: Hvis utviklerne bare validert sine innganger til hva de forventer å bli gitt, heller enn å forsøke å filtrere for ondsinnede innganger (hvis i det hele tatt), deretter 80-90 % av web-applikasjon sikkerhetsproblemene ville gå bort. SQL Injection - borte, XSS - borte, parameter manipulering - borte.
Dessverre, fra en programvareleverandører perspektiv: lanserer et nytt produkt på tid er viktigere enn lansere en sikker (d) programvare Grensene for tradisjonell toolsAccording til CSI /FBI studie fra 2006: 97% av intervjuet selskaper og myndigheter skulle bruke en antivirus, 98% har et nettverk brannmur, 69% har Intrusion Detection Systems. Men ... 65% av disse organisasjonene har gjennomgått en viral eller spyware angrep, har 32% opplevd uautorisert tilgang til sine interne data og til og med 15% har lidd av nettverket inntrenging ...
Nettverkssikkerhet er ikke webapplikasjon sikkerhet! Omkretsen nettverk brannmur kan ikke blokkere alle strømmer og angrep. Ja, vanligvis lar det http strømmer (port 80 og 443) kommer inn i bedriftens nettverk som det er vanligvis nødvendig for kommunikasjon med omverdenen. Ettersom dette spesifikke porten er åpen, er flere og flere programmer som bruker denne åpne døren, for eksempel, til VoIP samt peer to peer. Dette http port blir et reelt toll-free motorveien for å trenge interne nettverket. Flere og flere programmer (inkludert mistenkelig dem) er innkapslet i http trafikk.
Dette er alt over HTTP fenomen! Omfattende IT-sikkerhet krever en lagdelt approachTwo svært gamle adages i sikkerhet er "minst privilegier" og "forsvar i dybden." Ideen er å bare gi programvare nok rettigheter til å få jobben gjort, og ikke til å stole på bare én sikkerhetsmekanisme. M. Andrews og J. Whittaker, Guide til Web Application Security Selv om sikkerhetsverktøy har sine begrensninger, de er vanligvis nødvendig for å gjøre IT-sikkerhetsinfrastruktur sterkere. Sikkerhetseksperter referere til IT sikkerhetsinfrastruktur som ringer av gjerder.
To svært kjente og felles verktøy er antivirus og brann