高效率创建安全的 Java 应用, 第 2 部分: 使用 Rational AppScan 最大化 Java Web 应用程序的安全性

核心提示： 考虑到周围的防火墙，它提供了抵御网络层攻击的保护措施，高效率创建安全的 Java 应用, 第 2 部分: 使用 Rational AppScan 最大化 Java Web 应用程序的安全性(3)，但是网络防火墙几乎还没有提供抵御 Web 应用程序层缺陷的保护措施，举例来说，在这个教程中，您将使用

考虑到周围的防火墙，它提供了抵御网络层攻击的保护措施，但是网络防火墙几乎还没有提供抵御 Web 应用程序层缺陷的保护措施。举例来说，防火墙可能只允许 https 网络访问 Web 服务器，但是防火墙并没有检查实际的 HTML Web 应用程序中的内容，而这些内容有可能正式问题所在。这种影响是巨大的，即使是 Web 应用程序代码中最细微的缺陷（例如输入框中的合法性），也会导致业务上的致命缺陷，并由此产生经济上和客户信誉度的重大损失。

黑客攻击 Web 应用程序代码的典型后果就是使得攻击者跳过登录系统，盗取用户网络会话，直接查询、访问和操纵后台数据库。

针对 Web 应用程序的缺陷发起攻击的风险是现实存在的，特别是当应用程序的数据同高价值的业务相关联的时候（例如：支付卡信息），即使是敏感的个人数据也是具有出售价值的。由于数据被破坏，导致法定的、调节的和工业的标准需要征收大量的罚金。请您牢记，一旦将 Web 应用程序放到因特网上，那么任何人就都有能力对其进行访问，这其中当然包括那些可恶的黑客。这些黑客有足够多的时间发现和探索 Web 应用程序代码中的缺陷和弱点。考虑到本教程中所创建的 Web 应用程序具有一个财务主题和敏感的信息，所以在将其发布之前确保 Wealth Web 应用程序没有缺陷是一件十分重要的事情。

考虑到这一背景以及日益增加的数据安全性要求，开发一个没有安全缺陷的 Web 应用程序是一个非常关键的需求和基本目标。在这个教程中，您将使用 IBM 的 Rational AppScan 确保第 1 部分中所创建的 Wealth Java Web 应用程序远离安全性缺陷，确保 Web 应用程序足够安全地被放置在因特网上面。