随着web应用的日益增多，WEB安全的问题越加重要。如何保证WEB应用的安全性也成为当前日益重要，急待解决的问题。

　　web是一个运行于internet和TCP/IP上的基本的client/server应用。
　　它的安全性设计所有计算机于网络的安全性内容。同时还具有新的挑战，（1）由于WEB具有双向性，WEBSERVER易于遭受来自Internet的攻击。（2）实现WEB浏览，配置管理，内容发布等功能的软件异常复杂。其中隐藏许多潜在的安全隐患。（3）WEB通常是一个公司或机构的发布版，常常和其他计算机联系在一起。一旦WEB SERVER 被攻破，可能殃及其他。

　　国外一些权威安全机构对Web安全的层次性的理解，我们通常把它分为三个层次：
　　1.网络安全。如防火墙、路由器、网络结构等相关的安全问题。
　　2.系统与服务安全。如Window/Linux/Unix系统本身的漏洞或运行于其上的服务的安全，象Apache/OpenSSL/Weblogic等本身的安全性漏洞。
　　3.Web应用程序安全。具体应用程序的安全性漏洞，比如：某网站邮件系统因为存在脚本安全性问题，导致该邮件系统的用户在收到具有恶意代码的邮件时不知不觉的，其密码与帐号信息被人窃取。

1.WEB服务器也称为WWW(WORLD WIDE WEB)服务器，主要功能是提供网上信息浏览服务。
(1)应用层使用HTTP协议。
(2)HTML文档格式。
(3)浏览器统一资源定位器(URL)。 ……

　　1.攻击检测精度的发展：
　　Web应用漏洞检测技术变得日益精细起来。大多数工具的发展已经超越了通过指纹识别简单缓冲区溢出攻击的阶段。对于呈增长趋势的跨站脚本（XSS）攻击，一般的方法是使用内嵌检测的方式进行处理，并且检测方法正从简单的内嵌字符串注入检测发展为多层次的攻击检测。复杂之处在于对性能（Web应用和用户输入产生的交互所用的海量数据）和精度（减少误报）的处理。对于一些大型金融机构最近揭示的跨框架脚本（XFS）攻击，一种特殊类型的利用页面中的框架技术的网络钓鱼方法，厂商也及时对检测方法进行了更新。……