何为 Web 应用安全？

Web 应用安全是指保护网络服务器、网络应用和网络服务（如 API）免受基于互联网型威胁攻击的各种过程、技术或方法。Web 应用安全对于保护数据、客户和公司免受数据盗窃、业务连续性中断或网络犯罪的其他有害结果至关重要。

根据大多数统计推测，超过四分之三的网络犯罪直指应用及其漏洞。Web 应用安全产品和策略会尽可能通过以下措施保护应用：如网络应用防火墙 (WAF)、用户的多种身份验证 (MFA)、使用、保护和验证 Cookie 以保持用户状态和隐私状态，以及各种验证用户输入的方法，以确保在应用处理该输入之前并非带有恶意目的。

从网上银行和远程工作应用到提供个人娱乐和电子商务，当今世界的运行离不开应用。因此攻击者将其视为主要攻击目标也不难理解，他们会利用诸如设计缺陷以及 API、开源代码、第三方小工具和访问控制中的弱点等漏洞。

针对 Web 应用的常见攻击包括：

• 暴力破解
• 撞库攻击
• SQL 注入和表单劫持注入
• 跨站点脚本
• 有毒 Cookie
• 中间人 (MITM) 和浏览器中间人攻击
• 敏感数据泄露
• 不安全的反序列化
• 会话劫持

据最近的一项研究¹ 估计，截止 2024 年，网络犯罪将使所有行业损失 5.2 万亿美元。另据估计，在此之前，每年的损失将达到 6 万亿美元²。安全设备和技术对于限制（如果不能消除）这种损失至关重要。除了直接的财务和数据盗窃外，Web 应用威胁还可以破坏资产、客户满意度和商业声誉。这使得保护 Web 应用安全对于各种规模的公司来说都是要予以高度重视的必要工作。

不同的 Web 应用安全方法可以解决不同的漏洞。网络应用防火墙 (WAF) 是其中比较全面的一种，它可以通过监控和过滤 Web 应用与任何用户之间的流量来防御多种类型的攻击。通过配置有助于确定流量是否安全的策略，WAF 可以阻止恶意流量，防止其到达 Web 应用，并防止应用发布任何未经授权的数据。

其他 Web 应用安全方法主要集中在用户身份验证和访问权限管理、应用漏洞扫描器、Cookie 管理、流量可见性和 IP 拒绝列表等方面。

F5 Advanced WAF（API 安全 - 新一代 WAF）可以通过应用层加密和由机器学习和威胁情报支持的行为分析来缓解应用漏洞，从而帮助企业保护其应用和敏感的客户数据。

Silverline Web Application Firewall 可以提供作为云端管理服务的应用保护，获取企业关注的运营效率、灵活性等信息，并且可提供专家支持。

F5 的 WebSafe 和 MobileSafe 可以在保持对用户透明度的同时，通过保护可能不安全的移动设备或浏览器相关交易，防止欺诈活动。

¹ Chris Thompson，网络犯罪会给金融企业带来哪些损失？，Accenture（2019 年 7 月 15 日）

²2019 年网络犯罪官方年度报告，Cybersecurity Ventures（2018 年 12 月）