令人惊诧的是,几乎所有关注 Web 安全领域的人都会存在着上面我们阐述的误区,而当前 Web 的安全现状也同时证明了这些误区的普遍性。“防火墙、IDS 是主要安全手段,SSL 保证了安全性,…”与之相对的是:互联网发展到今天,75%的安全问题竟然是出现在应用程序本身。正如上面介绍的 SQL 注入***一样,这是防火墙、SSL、***检测系统无法预防、解决、和应对的!
如下图所示,目前安全投资中,只有 10%花在了如何防护应用安全漏洞,而这却是 75%的***来源――10% Vs 75%,这是多么大的差距!这也是造成当前 Web 站点频频被攻陷的一个重要因素。
图 1. 当前安全现状统计分析图