What is application security?

Application security includes processes, tools and procedures that aim to protect applications from threats throughout their lifecycle. Cybercriminals are increasingly focusing on finding vulnerabilities in enterprise applications. These are then exploited to steal data, intellectual property and sensitive information. It is becoming increasingly important for businesses and government agencies to specifically protect apps such as desktop, web, mobile, and micro-services. Existing security mechanisms such as NextGen Firewalls are not enough.

What is a Web Application?

A web application is an application that resides on the web server and works on the client-server principle. The client - e.g. the PC, laptop or smartphone - executes the corresponding program in the web browser. Web server and client communicate mainly via the http/s protocol. The client requests resources on the web server, such as a web page programmed in HTML. Typical examples of web applications are Facebook, e-mail services such as GMX, Skype for Business, Outlook Web Access, or SAP applications.

What is the OWASP Top 10?

Due to the increased number of attacks on web applications, the international non-profit organization "Open Web Application Project" or OWASP for short is dealing with the top 10 types of attacks on web applications and for some time now also on APIs. Here are the 10 attack types on Web Apps as of 2017: <a href="https://owasp.org/www-project-top-ten/" title="https://owasp.org/www-project-top-ten/" target="_blank" class="link">https://owasp.org/www-project-top-ten/</a>

What is a mobile app?

A mobile app is an application on a mobile device or client such as a smartphone or tablet. The client and web server usually communicate via API interfaces via REST-JSON or SOAP-XML. The mobile app requests data from the remote server or web server and then displays it in the application.

API stands for Application Programming Interface. It is therefore an interface with which it is possible for two applications to communicate with each other. Via APIs, resources and services are made available in the form of interfaces for applications of other parties. APIs pose an increased risk, as more than 80% of web attacks are now API-driven. According to <a href="https://www.gartner.com/en/documents/3688822/protecting-web-applications-and-apis-from-exploits-and-a" title="Gartner" target="_blank" class="link">Gartner</a>, API abuse will be the most common attack vector on enterprises by 2022.

应用程序安全解决方案

应用程序安全——抵御 OWASP 十大安全风险

2019 年，由于应用程序安全问题而造成的数据泄露的比例增加了 52%，而且这一趋势还在上升。Web 应用程序和移动应用程序非常容易受到攻击。应用程序编程接口 (API) 同样如此。针对 Web 应用程序或 API 的分布式拒绝服务 (DDoS) 攻击会严重破坏业务流程，致使公司或权威机构完全瘫痪。现代应用程序安全软件和工具可以保护基于 Web 的应用程序基础设施免受网络攻击。

大型组织积极使用 100 多种 Web 应用程序和移动应用程序。然而，基于 Web 的应用程序在中小型公司中也变得越来越重要。因此，制定应用程序安全计划以保护基于 Web 的应用程序结构免受网络攻击变得更加重要。

忽视应用程序安全将带来极大的风险

网络罪犯使用各种方法蓄意利用 Web 应用程序软件的潜在漏洞。网络防火墙或入侵防御系统等传统的 IT 安全系统无法检测到此类攻击。简单的网络防火墙只能阻止或允许特定的 TCP 或 UDP 端口。这无法检测和主动阻止利用超文本传输协议 (HTTP/HTTPS) 的应用层攻击。即使是下一代防火墙产品也不足以充分保障安全。防火墙通常不用作反向代理，因此无法识别和阻止所有专门针对应用程序的攻击。防火墙无法分析加密数据包和阻止可能的威胁。应用程序安全测试能够识别 Web 应用程序中的安全漏洞。

Web 应用程序防火墙 (WAF) 有效保障应用程序安全

用于保障应用程序安全的 WAF 能够保护公司和公共机构中的 IT 系统。这是一种重要的应用程序安全工具。WAF 分析客户端和 Web 服务器之间的数据交换，并检查所有传入的请求和 Web 服务器发送/接收的响应。如果 WAF 将特定内容划分为可疑内容，则将阻止通过 WAF 进行访问。具体而言，WAF 能够抵御注入攻击（SQL 注入）、跨站脚本攻击 (XSS)、会话劫持和其他 Web 攻击。

WAF 与网络防火墙相结合，能够显著增强公司的应用程序安全。这意味着您能够始终遵循最新的应用程序安全标准，满足提供恢复性强的现代 IT 基础设施的要求。凭借数十年的开发和实践经验，Web 应用程序防火墙能够有效保护公司网络免受各种广泛存在的攻击，例如零日攻击、SQL 注入、跨站脚本或应用层分布式拒绝服务 (DDoS) 攻击。对于大中小型企业而言，将 WAF 纳入应用程序安全计划非常有益。

应用程序安全工具的优势

优化公司和权威机构的应用程序安全
确保员工、合作伙伴和客户安全协作
保护 SAP® 或 Oracle® 等领先供应商提供的企业应用程序
缩减攻击面，消除安全漏洞
在整个 IT 系统瘫痪之前应对网络攻击和威胁

如果您有其他问题，请与我们联系。

联系我们

"Web 应用程序、移动应用程序和 API 必须受到特别保护。传统的网络防火墙无法阻止 Web 应用程序和 API 受到的攻击。防火墙通常是组织抵御互联网网络攻击的第一道防线。因此，防火墙是应用程序安全中不可或缺的部分。"
_{Edouard Viot，应用程序安全部产品管理主管}

我们对优化应用程序安全的建议

通过 YesWeHack 等平台邀请专家攻击您的 Web 应用程序。
定期更新。
做好备份（包括离线备份）。
合理结合机器人程序缓解、运行时应用程序自我保护 (RASP) 和 WAF 工具。
观看我们的网络研讨会，了解关于增强应用程序安全的其他建议。

我们的应用程序安全解决方案

应用程序 Web 安全

API 通常没有受到充分的保护。攻击的确切类型是什么？如何抵御此类攻击？

更多信息

DDoS 防护

分布式拒绝服务攻击蓄意引起服务器过载。了解如何避免此类攻击。

更多信息

应用程序安全专题内容

Case study: INFICON

Securing SAP Web Applications easily using the example of INFICON AG and R&S®Web Application Firewall

Download now

网络研讨会：API 安全风险

在本网络研讨会中，我们将介绍 10 种重要的 API 安全风险和相关防护方案。

现在下载

白皮书：如何保护 API

阅读本白皮书，了解如何利用 R&S®Web Application Firewall 保护 API。

现在下载

电子书——有效保护 Web 应用程序和网站

在本电子书中，您将详细了解一种新方法来确保 Web 应用程序的安全性和数据保护。

现在下载

常见问题

什么是应用程序安全？

应用程序安全包括旨在保护应用程序在其整个生命周期免受威胁的各种流程、工具和程序。网络罪犯越来越注重发现企业应用程序中的漏洞。他们会利用这些漏洞窃取数据、知识产权和敏感信息。对于企业和政府机构而言，专门保护桌面、Web、移动和微服务等应用程序变得越来越重要。下一代防火墙等现有的安全机制不足以充分保障安全。

什么是 Web 应用程序？

Web 应用程序是驻留在 Web 服务器上的应用程序，并依据客户端-服务器原则运行。电脑、笔记本电脑或智能手机等客户端在 Web 浏览器中执行相应程序。Web 服务器和客户端主要通过 http/s 协议进行通信。客户端请求获取 Web 服务器上的资源，例如使用 HTML 语言编写的网页。典型的 Web 应用程序示例包括 Facebook、GMX 等电子邮件服务、Skype for Business、Outlook Web Access 或 SAP 应用程序。

什么是 OWASP 十大安全漏洞？

由于 Web 应用程序攻击的数量不断增加，国际非营利组织开放式 Web 应用程序安全项目 (OWASP) 致力于公布十大 Web 应用程序攻击，现在也进一步涉猎 API 安全风险问题。以下是 2017 年十大 Web 应用程序攻击：https://owasp.org/www-project-top-ten/

什么是移动应用程序？

移动应用程序是智能手机或平板电脑等移动设备或客户端上的应用程序。客户端和 Web 服务器通常通过 API 接口利用 REST-JSON 或 SOAP-XML 进行通信。移动应用程序请求获取远程服务器或 Web 服务器上的数据，然后显示在应用程序中。

什么是 API？

API 表示应用程序编程接口。因此，两个应用程序可以通过此接口彼此通信。资源和服务通过 API 提供给其他方的应用程序。目前，超过 80% 的 Web 攻击源于 API，因此 API 带来了更大的风险。据 Gartner 估计，到 2022 年 API 滥用将成为企业中最常见的攻击向量。

需要更多信息。

如果您有任何疑问或需要了解更多信息，请填写此表格，我们会尽快回复您。

称呼*

名*

姓*

公司邮箱*

电话号码 (例如 +86 10 1234 5678)*

公司*

国家/地区*

街道*

邮政编码*

城市*

询问*

Email confirmation*

推广许可

我同意通过以下方式接收罗德与施瓦茨提供的信息：

电子邮件
邮政信件

这意味着什么？

我同意，在网站Imprint中提到的Rohde & Schwarz GmbH & Co. KG和罗德与施瓦茨实体及分支机构可出于营销和广告之目的（例如提供特价优惠和折扣促销信息）而通过选定渠道（电子邮件或邮政信件）与我联系并提供相关信息，包括但不限于测试与测量、安全通信、监测与网络测试、广播电视与媒体以及网络安全领域的产品和解决方案相关信息

您的权利

您可以随时发送电子邮件至 news@rohde-schwarz.com 撤销此同意声明，邮件主题注明“Unsubscribe”即可。此外，我们发送给您的每一封电子邮件中都含有电子邮件取消订阅链接。有关个人数据使用和撤销程序的详情，请参阅“隐私声明”。

你的申请已提交，我们稍后会联系您。

An error has occurred, please try again later.