浅谈WEB应用安全问题及防范

随着WEB应用技术的发展，越来越多的企业或学校使用WEB应用来进行企业或学校信息开放性管理，使机构管理信息暴露在越来越多的威胁中。由于WEB应用具有一定的运行特点，传统防火墙对于其存在的安全问题缺少针对性和有效性，新的防护工具——Web应用防火墙应运而生。

标签：web应用开放性安全问题Web防火墙

随着信息资源逐渐向数据高度集中的模式，Web成为一种普适平台，Web 应用成为了越来越多的企业或学校进行核心业务及信息管理的承载者。Web应用提供了丰富的开放资源和高效率的新工作方式，但它的开放性、易用性和易开发性同样也使Web应用的安全问题日益突出，已成为了网络安全核心问题之一。

1 Web应用的工作原理和特点

Web应用程序首先是“应用程序”，和用标准的程序语言，如C、C++等编写出来的程序没有什么本质上的不同。然而Web应用程序又有自己独特的地方，就是它是基于Web的，而不是采用传统方法运行的。

目前广泛使用的Web应用程序一般是B/S模式，使用标准的三层架构模型：第一层是客户端；使用动态Web内容技术的部分属于中间层；数据库是第三层。在B/S模式中，客户端运行浏览器软件。浏览器以超文本形式向Web服务器提出访问数据库的要求，Web服务器接受客户端请求后，将这个请求转化为SQL 语法，并交给数据库服务器，数据库服务器得到请求后，验证其合法性，并进行数据处理，然后将处理后的结果返回给Web服务器，Web服务器再一次将得到的所有结果进行转化，变成HTML文档形式，转发给客户端浏览器以友好的Web 页面形式显示出来。

因此，Web应用具有以下特点：

1.1 易用性

Web应用所基于的Web浏览器的界面都很相似，对于无用户交互功能的页面，用户接触的界面都是一致的，因此Web应用的操作简单易上手。

1.2 开放性

在Web应用的B/S模式下，除了内部人员可以访问，外部的用户亦可通过通用的浏览器进行访问，并且不受浏览器的限制。

1.3 易扩展性