令人驚詫的是,幾乎所有關注 Web 安全領域的人都會存在着上面我們闡述的誤區,而當前 Web 的安全現狀也同時證明了這些誤區的普遍性。“防火牆、IDS 是主要安全手段,SSL 保證了安全性,…”與之相對的是:互聯網發展到今天,75%的安全問題竟然是出現在應用程序本身。正如上面介紹的 SQL 注入***一樣,這是防火牆、SSL、***檢測系統無法預防、解決、和應對的!
如下圖所示,目前安全投資中,只有 10%花在瞭如何防護應用安全漏洞,而這卻是 75%的***來源――10% Vs 75%,這是多麼大的差距!這也是造成當前 Web 站點頻頻被攻陷的一個重要因素。
圖 1. 當前安全現狀統計分析圖
