2.Web安全的发展历程

从互联网诞生之初，Web安全的问题便产生了。随着互联网规模不断扩大，网络应用越来越多，特别是在Web 2.0、社交网络等一系列新型互联网产品的应用下，Web安全的问题越来越凸显。结合Web发展简史，Web安全的发展历程可以分为Web安全1.0时期、Web安全2.0时期和Web安全3.0时期。

Web安全1.0时期：该时期Web安全尚未普及，很多系统都是零防护的，系统的设计也只考虑了可用性，安全性和可靠性考虑得不多。在这一时期，结合搜索引擎与一些简单的集成渗透测试工具就可以很轻易地拿到数据或者权限。

Web安全2.0时期：该时期关注的是服务器端动态脚本安全问题，如结构查询语言（Structure Query Language，SQL）注入。SQL注入的出现是Web安全发展历程中一个重要的里程碑，其最早出现在1999年。黑客们使用SQL注入攻击的方式完全控制Web应用程序后端的数据库服务器，获取到很多重要、敏感的数据；也可以使用SQL注入漏洞绕过应用程序安全措施；还可以使用SQL注入漏洞绕过网页或Web应用程序的身份验证和授权以检索整个SQL数据库的内容；甚至可以使用SQL注入来添加、修改和删除数据库中的记录。SQL注入攻击的效果并不比直接攻击系统软件的效果差，因此，Web攻击开始流行起来。

Web安全3.0时期：在这一时期，跨站脚本（Cross Site Scripting，XSS）的出现加剧了Web攻击的力度，可以说是Web安全发展历程中另一个重要的里程碑。黑客们使用XSS攻击的方式可以窃取合法用户的Cookie，进行会话劫持、钓鱼欺骗等。XSS攻击出现的时间与SQL注入的差不多，但大概在2003年以后它才真正引起人们的重视，特别是在2005年，Samy蠕虫病毒的爆发震惊了世界。随着XSS、跨站请求伪造（Cross Site Request Forgery，CSRF）等攻击越来越强大，Web安全主战场由服务器端转到浏览器端。黑客们的攻击几乎覆盖了Web的每一个环节，攻击手段更加多样化、复杂化，企业和用户面临的安全风险也越来越高。

Web安全随着互联网技术的发展在不断更新，防护技术和手段也在不断升级加强，从Web应用防火墙（Web Application Firewall，WAF）到下一代Web应用防火墙（Next Generation Web Application Firewall，NGWAF），再到支持云端WAF部署的产品，Web安全评估系统也在不断完善。但这就像一场军备竞赛，白帽子们（专门研究或者从事网络、计算机技术防御工作的人员）刚堵上了一个漏洞，黑客们又会玩出新的花样。谁在技术上领先，谁就占据了主动权，这是一个不断博弈的过程。