大家經(jīng)常會聽到看到很多很多有關安全性方面的信息，可以說形形色色，對于在網(wǎng)絡安全方面不太專業(yè)的同志來說，有點眼花繚亂，理不出頭緒。在這里，我來幫大家整理一下。

以我個人多年來從事Web安全方面的工作經(jīng)驗及國外一些權威安全機構對Web安全的層次性的理解，我們通常把它分為三個層次：

1、網(wǎng)絡安全。如防火墻、路由器、網(wǎng)絡結構等相關的安全問題；

2、系統(tǒng)與服務安全。如Window/Linux/Unix系統(tǒng)本身的漏洞或運行于其上的服務的安全，象Apache/OpenSSL/Weblogic等本身的安全性漏洞；

3、Web應用程序安全。具體應用程序的安全性漏洞，比如：某網(wǎng)站郵件系統(tǒng)因為存在腳本安全性問題，導致該郵件系統(tǒng)的用戶在收到具有惡意代碼的郵件時不知不覺的，其密碼與帳號信息被人竊取。

說到這，大家應該清楚，不管你是在任何地方看到有關計算機安全性問題的方方面面，都逃不出這三大部分，同時我也要向讀者聲明一下：在這里，我主要是給大家陸續(xù)的介紹上述第三部分內容，即Web應用程序安全性相關知識與技能。

據(jù)權威搜索引擎公司統(tǒng)計數(shù)據(jù)顯示，目前70%以上的網(wǎng)站，或多或少的存在安全隱患，這里的安全隱患指的就是Web應用程序的安全。至于網(wǎng)絡、系統(tǒng)與服務的安全性問題，我個人認為它的生存周期基本上是：發(fā)現(xiàn)->上報軟件開發(fā)商->打補丁->下載更新程序。

作為我們用戶，及時的給系統(tǒng)與服務打上最新的補丁，配合一定的防火墻安全策略，是可以基本保證其安全的。但是Web應用程序基本上是每個組織各持一套自己的程序，一切問題都必需自己動手去解決，恰恰因為此種特性，才導致目前運行于互聯(lián)網(wǎng)上的Web應用的安全性普遍存在。

為什么呢？因為只有少數(shù)組織或個人有能力駕馭網(wǎng)絡安全相關的技術與經(jīng)驗，而絕大多數(shù)的即使是專業(yè)做網(wǎng)站開發(fā)的公司也不一定有知識有能力或有意識去考慮安全性問題。還要向讀者羅嗦一點是的：安全需要意識，沒有安全意識的組織與個人，是無法保證其開發(fā)出的產品的安全性的。這一點很重要，很多人只是從媒體上看到聽到一些安全性問題，總覺得安全性問題離自己很遙遠，其不知安全性問題正在對其造成越來越嚴重的破壞……。

前不久上海有一位朋友，銀行卡的資金不明轉出，且被人取走，報警后，經(jīng)警方多方調查跟蹤，最絡查明：其經(jīng)常使用網(wǎng)上銀行的筆記本電腦中了“灰鴿子”木馬，導致其操作電腦的行為及其電腦上的現(xiàn)在資源完全暴露無遺。

有人要問：“灰鴿子”是如何跑到其計算機上的呢？當然進去的途徑有多種，比如我們是網(wǎng)友，我通過QQ發(fā)給你讓你運行一下；或者我向你推薦一款你比較感興趣的免費軟件，該軟件內部已經(jīng)綁定了“灰鴿子”木馬程序……，還有一點很重要的就是通過網(wǎng)頁來傳播。比如通過腳本注入的方式，強行的不停的提示你下載并運行該程序；通過上傳漏洞上傳到一個你信任的網(wǎng)站上，當它提示你下載并安裝時，你發(fā)現(xiàn)它來自你信任的網(wǎng)站，于是就接受了……

總之，Web應用程序是我們接觸最多最有可能通過帶來安全隱患的載體。