1.1 为什么需要进行Web应用漏洞扫描

1.1.1 Web应用安全现状

根据中国互联网络信息中心（CNNIC）统计报告，截至2017年12月，中国网站数量为533万个，年增长率为10.6%。中国网页数量为2604亿个，年增长10.3%。其中，静态网页数量为1969亿个，约占网页总数的75.6%，动态网页数量为635亿个，约占网页总数的24.4%。相比2008年的181亿个，增长近15倍。

随着计算机技术和信息技术的发展，Web应用系统在各个领域都得到了广泛的应用，伴随而来的针对Web应用的攻击也大幅度上升。国际著名调研机构Gartner曾统计，信息安全攻击有75%都是发生在Web应用而非网络层面上，其中最常见的攻击技术就是针对Web应用的SQL注入和钓鱼攻击。然而目前，绝大多数企业将大量的投资花费在网络安全和主机安全上，应用安全却往往是薄弱环节，没有从根本上保障应用自身的安全，缺乏有效的安全保障措施，没有真正意义上保证Web应用本身的安全，容易给黑客以可乘之机。

据国家计算机网络应急技术处理协调中心（CN/CERT）2017年统计报告，2017年发现约4.9万个针对我国境内网站的仿冒页面，其中实名认证和积分兑换仿冒页面比较多。2017年境内外约2.4万个IP地址对我国境内2.9万余个网站植入后门。2017年我国境内约2万个网站被篡改，被植入暗链的网站占全部被篡改网站的68.0%。网站用户信息成为黑客窃取的重点，直接影响网民和企业权益，阻碍行业健康发展。另外，针对特定目标的有组织高级可持续攻击日渐增多，国家、企业的网络信息系统安全面临严峻挑战。攻击者主要采用篡改网页、上传恶意代码等攻击形式，干扰正常业务的开展、蓄意破坏政府或企业形象，严重的还导致网站被迫停止服务。对个人用户而言，攻击者更多的是通过非法获取用户游戏账号、银行账号、密码等手段，进而窃取用户财产。如上所述，整体安全形势不容乐观，给Web应用系统的稳定运行带来了前所未有的压力，Web应用系统的安全已经成为目前迫切需要解决的问题。

Web安全从后端延伸到前端，安全问题日益突出。软件安全开发是Web应用安全中的关键环节，当前Web应用设计及开发人员对于软件安全问题仍然缺乏正确、足够的认识，存在“重业务、轻安全”的现象，开发过程不规范，忽视安全编码规范，安全测试不到位，导致Web应用本身存在很多潜在的缺陷，同时也暴露给外界大量的安全漏洞，一旦攻击者入侵可能会导致重大经济损失。