事实是，如今的web应用程序安全性非常复杂。每个人都明白这一点很重要，但很少有开发人员真正深入了解威胁，更不用说解决方案了。

我不希望你有一天醒来却发现你的网站被黑客入侵。所以，我把这篇文章放在一起，是为了让你关注当前的攻击向量形势，抑制你的预期。

为什么数据泄露和黑客越来越普遍？

大公司有能力聘请最聪明的安全专家，但似乎仍经常受到漏洞的影响。

似乎每周都有客户信息被泄露的新情况。这些只是一些相对较新的黑客攻击：

Equifax被黑客攻击，CEO将其归咎于"人为错误"来自Earl Enterprises（拥有多家连锁餐厅）客户的200多万张信用卡遭到泄露。恶意软件被放在销售点（POS）系统上以收集这些数据当丰田经销商的漏洞被利用时，300多万丰田客户记录被盗Houzz被黑客入侵，以暴露私人用户帐户信息Chipotle早在2017年就有过数据泄露事件，大数据怎么样，然后在2019年再次发生（也是我前几天最喜欢的）Docker Hub漏洞允许攻击者窃取私人VCS密钥和令牌

在大多数漏洞和黑客攻击中使用了不同的攻击方法。

为什么会发生这种情况？

即使你知道，你能做些什么吗？即使是最大的公司也做不到？

安全领域专家很快指出，软件应用于越来越多的业务领域。自动化实际上才刚刚开始发展，随着机器学习的兴起，软件对企业来说只会变得更加重要。

代码越多，漏洞就越多。数量给了潜在的黑客更多的机会去发现漏洞。

除此之外，软件也变得越来越复杂。很少有一个开发人员能够理解他们正在处理的代码库的所有部分。取而代之的是，你通常只处理一小部分或特定的功能分支。

一个开发人员/sysadmin/devops可能会在与他们不理解的遗留代码交互的基础上引入新的漏洞。

例如，了解每个开发人员在某个时候，从堆栈溢出复制了一段代码，云教云，但没有完全理解它。在某些情况下，它可能是一个重要进程或模块的代码，该进程或模块已过时，存在安全缺陷，或者很容易被攻击，从而对应用程序或服务器端造成严重破坏。

在许多情况下，攻击者真正需要的只是对应用程序感兴趣，并专注于发现其漏洞。这种方法的一个惊人的例子是一个托管评论团队如何入侵世界，这证明了一个熟练的专业人员如何容易地利用当今许多人使用的服务中发现的漏洞，而且由于他们处理大量公司和个人的敏感数据，这些漏洞预计会尽可能安全被视为一个有点咆哮，物联网技术应用，因为有字面上没有解决方案的视线和目前的情况越来越令人沮丧，尤其是对新的商业风险。你最好的办法是尽最大努力修补明显的安全威胁，并尽可能远离攻击者的雷达。

攻击者寻找简单目标和高价值回报（即敏感数据）的组合。所以，虽然你的应用程序不太可能是防黑客的，但只要你是比大多数人更难对付的目标，你很有可能是安全的。

最常见的漏洞类型

最有意义的是集中精力保护攻击者攻击的最常见的安全漏洞类型。

Imperva每年跟踪不同漏洞的常见程度。

最近，某些类型的漏洞已成为更大的安全威胁：

SQL注入：黑客在应用程序前端插入SQL代码，以提取/更改后端数据库中的私有数据。主要发生在用户输入未正确清理时。（问为什么？–人为错误）跨站点脚本（XSS）：一种典型的攻击，黑客将客户端脚本插入到你的网站中，供访问者（通常点击电子邮件中的恶意链接）访问或修改他们的帐户。（问为什么？–人为错误）数据暴露：不正确保护敏感数据（如密码或支付数据）比应该的更为常见，什么是软件企业，尽管这几乎总是偶然的。（问为什么？–人为错误）第三方漏洞：大多数应用程序使用他们不完全理解的第三方软件。这是不可避免的，但当第三方软件修补安全漏洞时不更新是一个常见的问题（看看你，WordPress插件与外部库的依赖关系）。

如果你对这四种类型的漏洞没有充分的了解，请花些时间深入阅读，以获得一个清晰的画面，并确保你的开发人员会做的。

一旦你做了，让我们检查一些测试方法来揭示潜在的漏洞，并找出如何最好地修复它们。

三种类型的Web应用程序安全测试

有三种主要的方法可以测试你的Web应用程序。理想情况下，您应该使用多种方法的组合：

用于SAST和DAST的工具非常适合于发现一些最常见的漏洞，如SQL注入和XSS。

为了使测试有效，如果可能的话，应该在部署构建之前进行测试，而不是像许多DevOps团队或个人那样在部署之后。此外，如果可能的话，它不应该是一个一次性事件，而是CI/CD管道中连续的、强制性的程序部分。

简单（但有效）的Web应用程序安全检查表

安全测试在构建之后进行。

如果您在构建应用程序时考虑到安全性，您的安全测试将有望发现攻击者可以利用的最小缺陷。

使用本节中的元素创建需要为您的应用程序解决的安全项目的个性化清单。根据您的具体应用程序或开发团队，有些可能不需要，但它们是：