Web站点的安全有可能是当今保障企业安全技术中最容易被忽视的领域，虽然它应当在一个企业中居于优先地位。

　　黑客们正日益紧锣密鼓地尽其最大的努力来对付基于Web的应用程序，以获得对敏感数据的访问或滥用之，这些数据包括客户的详细信息，信用卡号和公司的其它秘密数据等。

　　黑客们已经具备了很多技能来实施其攻击，如发动SQL注入式攻击，跨站脚本攻击、目录遍历攻击(Directory Traversal Attack)、参数操纵(例如，URL，Cookie，HTTP报头，HTML表单等)、身份验证攻击、目录穷举和其它的漏洞利用。此外，黑客团体组织严密，一些新发现的Web应用程序入侵方式被发布到了大量的论坛上以及其组织成员所知道的网站上。这些入侵方式发布每天都更新，并被用于传播和促进对Web应用程序的进一步攻击。

　　Web应用程序-购物车、表单、登录页面、动态内容和其它预定的应用程序，这些都被设计来允许Web站点的访问者重新得到并提交动态内容，这包括各种级别的个人数据和敏感数据。

　　如果这些Web应用程序不安全，那么你整个的数据库的敏感信息就会处于严重的风险之中。据Gartner Group的一份研究报告指出，75%的网络攻击是在Web应用程序层次上进行的。

　　在2006年9月，黑客们通过在AT&T在线商店中的一个漏洞，窃取了近19,000个DSL设备客户的个人数据。

　　在2007年，在一名黑客成功攻入其Web站点之后，美国南加福尼亚大学花费了超过140,000美元来通知受到影响的学生，并关闭其Web站点达十天之久 。

　　为什么为发生这种事情呢?原因有以下几个方面：

　　·Web站点和相关的Web应用程序必须保持每一周的每一天的24小时内都要可用，由此来向客户、雇员、供应商和其它的利益关系人等提供所需要的服务。

　　·防火墙和SSL并没有针对Web应用程序的攻击提供保护，这只是因为对Web站点访问必须是公开的。

　　·Web应用程序经常拥有对客户数据库等后端数据的直接访问能力，因此控制有价值的数据保持其安全性的难度就更大。

　　·多数Web应用程序属于定制程序，因此与那些现货供应的软件(主要指那些商业软件)相比其测试程度也就更低。因此，定制的应用程序更易于受到攻击。

　　各种各样的攻击已经证明Web应用程序的安全是极为关键的。如果你的Web应用程序受到了破坏，那么黑客们将完全可以访问你的后端数据，即使你的防火墙配置正确，而且即使你的操作系统和应用程序经常打补丁!

　　网络安全防御并没有针对Web应用程序的攻击提供安全保护，因为这些攻击是在80号端口(Web站点的默认端口)上发动的，而这些端口必须保持开放性以允许企业网站的正常操作。

　　为了实现最广泛的安全策略，你定期地、一致地审核Web应用程序的可能被利用的漏洞势在必行。

　　对自动化Web应用程序安全扫描的需要

　　对你的Web应用程序进行人工漏洞审核繁琐又相当耗时，这种操作还要求一些高级技术和跟踪记录大量代码的能力，还要洞察黑客们的最新攻击伎俩。

　　自动化的漏洞扫描允许你专注于保障Web应用程序安全的更具有挑战性的问题，避免被黑客利用漏洞损害企业数据。