补丁是用于修补程序缝隙的代码片段程序，用于对操作体系或运用程序完成附加功用或修补安全缝隙。人们日渐意识到，经过网络效劳器和运用程序下载并装置补丁是维护网站安全的要害，尤其是发现软件缝隙存在巨大安全隐患时。而近年来一些软件缝隙因疏于装置补丁，成为了黑客首要的进犯方针，这也再次强调了装置补丁的重要性。话虽如此，任何运维人员想要为一向运转的设备装置补丁都不是一件简略的事，并且本钱也不低。

　　缝隙指的是核算机体系(操作体系和运用程序)的缺点，进犯者能够经过这些缺点进行不合法侵略，施行歹意行为。但并非一切缝隙都具有相应的补丁，此时运维人员应当对其它弥补办法有所了解，例如修正体系装备、对用户进行训练，以削减体系缝隙的露出。

　　为缓解问题，运维人员应为削减露出体系缝隙而拟定体系的记载程序，及时装置补丁。这些过程当然要害，但也不能忽视补丁以外的其它危险。

　　网络运用安全危险

　　网络运用方面，各运维人员面临的应战不尽相同。危险巨细很大程度上取决于其所从事的职业、安全方面的投入、软件开发人员的经历及其运用的办法和技能。除运维人员以外，一些常见的内外部要素，也或许对网络运用程序的安全危险带来影响。其间包括：

　　· 上市时刻短暂

　　迫于办理、商场和营销团队的压力，急于发布程序和不断添加功用设置导致对程序安全缺点进行检测的时刻被紧缩，缺点没有充沛露出出来。

　　· 留传运用程序

　　老的运用程序在前期开发阶段就有或许存在潜在安全缝隙，而新版别并未修正老版别的问题。

　　· 网络依靠

　　要害使命流程对互联网效劳依靠程度强，然后添加运用程序露出安全缝隙的危险。

　　· 标准化缺失

　　不管是内部规划、外包规划仍是两者共同完成的网络运用程序，由于人为过错，有时都无法做到标准化。

　　· 安全意识缺少

　　在软件开发生命周期，安全问题偶然会被忽视或不行注重。

　　是什么让网络运用程序缝隙如此遍及?其间一种理论以为是网络运用程序代码不成熟所造成的。例如，黑客能够运用网络程序的解说和验证缝隙(或许是软件开发生命周期的一部分)侵略其界面。还有理论以为，网络运用程序运用的协议和效劳越多(如：HTTP, HTTPS和SOAP)，黑客可运用的缝隙越多。尽管人们现已尽力寻觅网络协议缝隙的处理方案、增强防火墙和IDS/IPS体系，可在网络运用程序方面却并未能做到如此详尽的维护。

　　以下几个方面，都是网络运用程序招引黑客的原因。比较典型的是，黑客以为网络效劳器的信息有价值——灵敏内容，或许有可用作进入其他网络之跳板的信息。比较传统程序，黑客更喜爱侵略网络运用程序，这是其本质决议的。由于大部分网络运用程序都与数据库相连，这些数据库或许包括客户或财政信息——故黑客将进犯网络运用程序作为侵略数据库的途径。

　　不管效劳器补丁打得多好，潜在可被运用的缝隙都是不可避免的。如下所列便是一些常见的缝隙：

　　· Security misconfigurations安全装备过错

　　· Lack of sufficient validation缺少必要验证

　　· Cross-site request forgery (CSRF)假造跨站恳求

　　· Cross-site scripting (XSS)跨站脚本进犯

　　· SQL InjectionSQL注入进犯

　　· Insufficient use of transport layer encryption传输层加密缺乏

　　· Backdoors (e.g. exposed management interfaces, legacy users still in the system, etc.)后门(例如：露出办理界面，前一用户仍在体系中停留等等)

　　一般的网络运用效劳器办理使命也会发生安全问题。运用默许装备，弱口令，运转不必要效劳程序等都是显着的安全危险。但现在，这种问题在某些运维人员工作中仍旧遍及存在，好在这些过错都能够容易被修正。