本文出自王爬爬的51Testing软件测试博客,转载请保留出处及链接:http://www.51testing.com/?148547
1.web平台:web平台软件漏洞,包括Http底层服务软件(比如,IIS或Apache)等底层基础设施,以及应用程序开发框架(如Asp.Net或者PHP).
2.web应用:对授权、认证、站点结构、输入验证、程序逻辑以及管理接口进行攻击。
3.数据库:通过数据库查询进行特权命令,操纵查询以返回额外的数据集,这里最具破坏性的攻击是SQL注入。
4.web客户端:活动内容执行、客户端软件漏洞攻击、跨站脚本错误,以及钓鱼欺骗
5.传输:窃听客户-服务器通信,SSL重定向
6.可用性:如果要你迅速地指出更危险的"黑客"技术,拒绝服务攻击(denial of service,DoS)经常会被遗漏,其实DoS攻击是任何可公开访问的Web应用所面临的最大威胁之一。让任何资源都对公众开放本来就有很大的挑战,在网络世界中更是如此。
其中Open Web Application Security Project(owas)就是流行之一。
