網路已是企業營運不可或缺的工具,同時也有許多民眾透過網站進行交易,網站背後累積的龐大資料,吸引愈來愈多駭客針對網站漏洞進行攻擊,根據HP日前發表的2010年網路安全風險研究報告,源自於網頁應用程式的安全漏洞,與源自於作業系統或傳統服的安全漏洞,兩者數量旗鼓相當,且網頁應用程式安全漏洞呈現穩定增加的趨勢。
從攻擊類型來看,XSS是最主要的攻擊類型,其次是SQL Injection及DDoS攻擊。HP Worldwide網路設備事業部資深經理Mr. Patrick Hill指出,抽樣調查結果顯示,71%的網頁應用程式含有XSS、Command Execution及SQL Injection的漏洞,另外49%的Web AP至少有一個Command Execution及SQL Injection漏洞。
若要避免成為駭客眼中的肥羊,企業從程式開發到上線都要確實做好安全檢測,亦即在程式開發階段進行源碼檢測,確認程式碼安全性、上線前進行滲透測試、上線後則要定期進行弱點掃描或滲透測試,如此才能將網頁安全風險降到最低。