二、“Web网站使用了防火墙,所以很安全”
防火墙有访问过滤机制,但还是无法应对许多恶意行为。许多网上商店、拍卖网站和BBS都安装了防火墙,但依然脆弱。防火墙通过设置“访客名单”,可以把恶意访问排除在外,只允许善意的访问者进来。但是,如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许,后续的安全问题就不是防火墙能应对了。
三、“漏洞扫描工具没发现任何问题,所以很安全”
自1990年代初以来,漏洞扫描工具已经被广泛使用,以查找一些明显的网络安全漏洞。但是,这种工具无法对网站应用程序进行检测,无法查找程序中的漏洞。
漏洞扫描工具生成一些特殊的访问请求,发送给Web网站,在获取网站的响应信息后进行分析。该工具将响应信息与一些漏洞进行对比,一旦发现可疑之处即报出安全漏洞。目前,新版本的漏洞扫描工具一般能发现网站90%以上的常见安全问题,但这种工具对网站应用程序也有很多无能为力的地方。
