1.1 為什么需要進行Web應用漏洞掃描

1.1.1 Web應用安全現狀

根據中國互聯網絡信息中心（CNNIC）統計報告，截至2017年12月，中國網站數量為533萬個，年增長率為10.6%。中國網頁數量為2604億個，年增長10.3%。其中，靜態網頁數量為1969億個，約占網頁總數的75.6%，動態網頁數量為635億個，約占網頁總數的24.4%。相比2008年的181億個，增長近15倍。

隨著計算機技術和信息技術的發展，Web應用系統在各個領域都得到了廣泛的應用，伴隨而來的針對Web應用的攻擊也大幅度上升。國際著名調研機構Gartner曾統計，信息安全攻擊有75%都是發生在Web應用而非網絡層面上，其中最常見的攻擊技術就是針對Web應用的SQL注入和釣魚攻擊。然而目前，絕大多數企業將大量的投資花費在網絡安全和主機安全上，應用安全卻往往是薄弱環節，沒有從根本上保障應用自身的安全，缺乏有效的安全保障措施，沒有真正意義上保證Web應用本身的安全，容易給黑客以可乘之機。

據國家計算機網絡應急技術處理協調中心（CN/CERT）2017年統計報告，2017年發現約4.9萬個針對我國境內網站的仿冒頁面，其中實名認證和積分兌換仿冒頁面比較多。2017年境內外約2.4萬個IP地址對我國境內2.9萬余個網站植入后門。2017年我國境內約2萬個網站被篡改，被植入暗鏈的網站占全部被篡改網站的68.0%。網站用戶信息成為黑客竊取的重點，直接影響網民和企業權益，阻礙行業健康發展。另外，針對特定目標的有組織高級可持續攻擊日漸增多，國家、企業的網絡信息系統安全面臨嚴峻挑戰。攻擊者主要采用篡改網頁、上傳惡意代碼等攻擊形式，干擾正常業務的開展、蓄意破壞政府或企業形象，嚴重的還導致網站被迫停止服務。對個人用戶而言，攻擊者更多的是通過非法獲取用戶游戲賬號、銀行賬號、密碼等手段，進而竊取用戶財產。如上所述，整體安全形勢不容樂觀，給Web應用系統的穩定運行帶來了前所未有的壓力，Web應用系統的安全已經成為目前迫切需要解決的問題。

Web安全從后端延伸到前端，安全問題日益突出。軟件安全開發是Web應用安全中的關鍵環節，當前Web應用設計及開發人員對于軟件安全問題仍然缺乏正確、足夠的認識，存在“重業務、輕安全”的現象，開發過程不規范，忽視安全編碼規范，安全測試不到位，導致Web應用本身存在很多潛在的缺陷，同時也暴露給外界大量的安全漏洞，一旦攻擊者入侵可能會導致重大經濟損失。