我们不打算浪费太多的时间去定义Web应用程序——除非你在过去的十年中与世隔绝,否则你可能已经直接体验过数十个Web应用(Google、Amazon.com、Hotmail等)。更深入的背景材料,可以在Wikipedia.org上搜索“Web application”这个词。在这里我们将尽可能快速而简洁地集中介绍与安全相关的内容。
我们将Web应用定义为通过超文本传输协议HTTP(关于HTTP的背景资料参见本章末尾的“参考与延伸阅读”)访问的应用。因此,Web入侵的本质是通过HTTP篡改应用,有3种简单的Web入侵方法:
·通过图形化Web界面直接操纵应用
·篡改统一资源标识符(URI)
·篡改没有包含在URI中的HTTP元素