根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的Web站点都相当脆弱,易受攻击。可以说,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证 Web 业务本身的安全,才给了黑客可乘之机。根据世界知名的Web安全研究组织OWASP提供的报告,目前对Web业务系统威胁最严重的两种攻击方式是注入漏洞和跨站脚本漏洞。
其次,解决Web浏览客户端安全。主要是防范远程恶意代码执行漏洞,其原理是通过构造精心设计的格式错误数据,由攻击者触发系统漏洞,并在客户端软件中更改代码执行路径,来执行由攻击者随格式错误数据附带恶意代码或程序的利用过程。如果客户端浏览器中存在未修补的恶意代码执行漏洞或0day漏洞,当访问受恶意代码感染的站点时,该站点会自动在登录用户的浏览器中运行攻击者的恶意代码,并利用Web浏览器漏洞安装恶意病毒、木马程序,如密码窃取恶意软件等。这些恶意行为是利用了浏览器本身的系统后台漏洞执行,所有这一切根本无需任何用户交互操作。所以应尽量使用已采用常规堆栈保护措施版本的Web浏览器,来防止基于堆栈和基于堆的缓冲区溢出攻击。目前最新版本的Microsoft IE浏览器已经提供基于数据执行保护( DEP )或不执行( NX)的内存保护措施,Internet Explorer 8平台在Internet控制面板选项开启“启用内存保护帮助减少联机攻击”的选项就可以有效防止远程代码攻击;另外建议部署统一的内网管理系统,统一对关键应用程序和系统补丁进行时时监控和统一升级,保证客户端和内网安全。