大约十几年的时间,万维网已由纯粹的静态信息仓库发展为功能强大的应用程序,能够处理敏感的数据并执行用于输出实际结果的高度功能化的应用程序。在这个发展过程中,多种因素造成了当前绝大多数Web应用程序所面临的安全保护不足的状况。
多数应用程序都面临一个核心安全问题,即用户可提交任意输入。用户与应用程序交互的每一个方面都可能是恶意的,而且在未能证明其并无恶意之前应该被认定为是恶意的。如果这个问题处理不当,应用程序就有可能受到各种形式的攻击。
当前Web应用程序安全状况的所有证据表明,这个问题尚未得到很好的解决,而且不管是对部署Web应用程序的组织还是对访问它们的用户而言,针对Web应用程序的攻击都是一个严重的威胁
