是从软件的开发过程中就堵住各种安全漏洞，还是在软件完成之后，发现漏洞再弥补。治标，还是治本？
一早，王晓明像往常一样，来到公司的第一件事就是打开电脑收邮件。第一封邮件来自某某客户，里面附了另一封邮件, 是一家公司的介绍信，第一句是这样写的: It is very nice to get in touch with you. We owe your name and address to “xx” （非常高兴和你联系，我们是从××公司得到你的信息的）而这个××公司正是他的代理公司。
怎么代理公司可以轻易泄露自己的信息，王晓明很是气愤。如果说这家代理公司是有意泄露客户信息的话，有些无意泄露的信息更是让人防不胜防。
瑞典IKEA公司的网上商店就出现过一次失误， IKEA网站服务器的一个配置错误致使每一个访问该网站的人都可以浏览到存放在一个数据库文件内的客户信息。这些信息包括曾向IKEA预订商品目录的客户姓名、地址、电话号码和电子邮件等。 尽管IKEA方面声称，事实上只有一个客户看到了这些信息，而且公司在接到警告后很短时间内就堵上了这个漏洞，但还是有不少客户对他们失去了信心。
而美国电信公司AT&T由于计算机系统遭到黑客入侵，其中可能有1.9万客户资料遭影响。AT&T在声明中表示，受到这项非法入侵行动的客户资料大都是通过AT&T网站购买DSL网络服务的客户，被泄漏的信息中包含信用卡卡号与个人数据。虽然AT&T公司声明这项入侵在数小时内即被察觉，他们也随即通知信用卡公司卡号已外泄，并透过email、电话、信件通知受到影响的客户。AT&T还是会针对那些受到影响的客户提供信用监控保护服务，防止身份窃盗事件。
根据美国隐私权信息交换中心汇整，AT&T本次数据外泄只是数据安全破坏事件之一，今年以来大约有超过9000万项个人记录被数十个数据外泄事件泄漏。

Web应用安全不容忽视
上面提到的两起数据外泄事件都与Web应用安全有关，随着互联网技术与应用的不断发展，Web应用极为丰富的今天，Web服务器以其强大的计算能力和处理性能及所蕴含的高昂价值，成为被攻击的主要目标。
在Internet大众化及Web技术飞速演变的今天，在线安全所面临的挑战日益严峻。伴随着在线信息和服务的可用性的提升，以及基于Web的攻击和破坏的增长，安全风险达到了前所未有的高度。由于众多安全工作集中在网络本身上面，Web应用程序几乎被遗忘了。也许这是因为应用程序过去常常是在一台计算机上运行的独立程序，如果这台计算机安全的话，那么应用程序就是安全的。如今，情况大不一样了，Web应用程序在多种不同的机器上运行：客户端、Web服务器、数据库服务器和应用服务器。而且，因为他们一般可以让所有的人使用，所以这些应用程序成为了众多攻击活动的后台旁路。
目前企业开发的很多新应用程序都是Web应用程序，而且Web服务也被越来越频繁地用于集成Web应用程序或与其进行交互，这些趋势带来的问题就是：Web应用程序和服务的增长已超越了程序开发人员所接受的安全培训和安全意识的范围。
走在信息化与互联网经济前沿的政府、企业、IDC等组织都面临着各种针对Web的安全问题。根据国家计算机网络应急技术处理协调中心2007年上半年的工作报告显示，一些网站漏洞百出，被篡改的网站数量明显上升，总数达到28367个，比2006年全年增加近16%。信息安全国际权威机构SANS 2007年发布的全球20大安全风险排行榜上，Web应用安全漏洞名列前茅，最广为攻击者利用的漏洞为SQL注入及跨站脚本。
其中，SQL注入漏洞通常为攻击者利用，用于读取、创建、更新或是删除应用程序中的任意数据，最为糟糕的情况下，攻击者可能获得整个数据库系统的完全。还有跨站脚本允许攻击者在受害者的浏览器中执行脚本，从而劫持用户会话、篡改Web站点、插入恶意内容、实施钓鱼攻击等。
由于Web服务器提供了几种不同的方式将请求转发给应用服务器，并将修改过的或新的网页发回给最终用户，这使得非法闯入网络变得更加容易。
而且，许多程序员不知道如何开发安全的应用程序。他们的经验也许是开发独立应用程序或Intranet Web应用程序，这些应用程序没有考虑到在安全缺陷被利用时可能会出现灾难性后果。
其次，许多Web应用程序容易受到通过服务器、应用程序和内部已开发的代码进行的攻击。这些攻击行动直接通过了周边防火墙安全措施，因为端口80或443（SSL，安全套接字协议层）必须开放，以便让应用程序正常运行Web应用程序攻击包括对应用程序本身的DoS（拒绝服务）攻击、改变网页内容以及盗走企业的关键信息或用户信息等。
总之，Web应用攻击之所以与其他攻击不同，是因为它们很难被发现，而且可能来自任何在线用户，甚至是经过验证的用户。迄今为止，该方面尚未受到重视，因为企业用户主要使用防火墙和入侵检测解决方案来保护其网络的安全，而防火墙和入侵检测解决方案发现不了Web攻击行动。