Shellshock 和 Heartbleed 之類的產品即使是裝備最精良的安全公司也讓他們大吃一驚，讓他們窺探未來幾個月世界可能面臨的情況。事實上，去年發生的違規事件甚至讓中小型組織也開始關注安全問題的嚴重性。假定的“安全”區域和應用程序安全合規性已被嚴重削弱。而現在對于來年，如果可以肯定地預測任何事情，那么它將延續去年的應用程序安全趨勢。

邏輯漏洞利用

攻擊者已經了解到，即使是普通開發人員也開始意識到 CSRF 和 XSS 問題，并努力將它們保留在系統中。這就是為什么攻擊者將在 2015 年尋找新的利用方法的原因。

去年 9 月，埃及安全研究員 Yasser H. Ali 已經展示了如何只需單擊一次就足以繞過 CSRF 預防系統來入侵 PayPal 帳戶。組織可以預期類似的攻擊，黑客將在編碼中尋找邏輯問題，而不是實際利用已知漏洞。防范此類黑客攻擊肯定會更加困難。

違反信任

多年來，開發人員和安全研究人員對 OpenSSL 和 UNIX 的信任度超出了他們應有的水平。然而，Shellshock 和 Heartbleed 向他們展示了如何利用 UNIX Bash Shell 和 OpenSSL 加密庫中的漏洞來幫助入侵安全系統，這連續導致了 Web 應用程序安全領域的嚴重擔憂。在接下來的一年中，將發現和利用更多此類漏洞。對受信任的應用程序和組織的攻擊將會加劇。

云存儲風險

云技術承諾了很多事情，但與此同時，它也帶來了一些威脅。將組織的所有數據存儲在云上可能會危及信息，這一點在去年 10 月某個時候 iCloud 據稱遭到黑客攻擊時就已經得到強調。更多的個人和組織將轉向云計算，這也涉及基于云的 Web 應用程序及其滲透風險。

超越合規

許多組織認為，遵守 OWASP 十大漏洞列表是最終的安全措施。這從來都不是一個完整的事實，在 2015 年，大多數組織將不得不意識到這一事實。IP Architects 總裁 John Pironti 解釋說，合規性應該是一個起點。他說，這只是一種基線安全態勢，組織需要超越它，自行開發安全趨勢。

犯罪軟件

包括 Deep Web 在內的暗網服務困擾著不同大陸的立法者，但更令人不安的是，此類工具可在黑帽會議的訪問論壇上使用。如果可以訪問此類論壇，則可以輕松購買或交換用于逃避檢測的點對點網絡循環軟件。即使是使用 Tor、Freenet 和 I2P 的業余黑客也會造成很大的破壞。此類犯罪軟件的集合將對全球情報機構構成嚴重威脅。從商業角度來看，犯罪軟件的可用性也是災難性的。

第三方應用風險

來年，該國的大多數企業將發現購買編碼應用程序而不是內部開發它們的好處。因此，與這些網絡應用程序相關的安全問題將成倍增加。為了教育組織，Gartner 甚至在 2015 年初組織了一次安全與風險管理峰會，該峰會將突出應用安全以及運營技術風險。就像去年一樣，注入、破壞身份驗證和跨站點腳本將對此類基于 Web 的應用程序構成最大威脅。

全面應用安全：邏輯安全繼任者

隨著Web 應用程序安全的復雜性越來越高，包括常規防火墻和惡意軟件檢測解決方案在內的傳統防御機制在來年 2015 年將不夠用。當然，這些防御系統仍然是整個 Web 應用程序安全過程中不可或缺的一部分，但圍繞檢測、保護和監控的整體應用程序安全架構將被證明是關鍵。企業需要采用更全面、更集成的安全解決方案，以持續監控和防御新出現的攻擊。提供獨特的服務 –全面應用安全(TAS)，這是一種集成解決方案，可以 24X7 連續檢測、防御和監控系統。