与针对Web应用程序的攻击相比,本地代码中的软件漏洞造成的威胁相对较小。大多数应用程序在托管执行环境下运行,本章描述的典型软件漏洞并不会发生。然而,有些时候,这类漏洞可能会频繁发生,并影响到许多在硬件设备与其他非托管环境下运行的Web应用程序。向服务器提交一组特殊的测试字符串并监控其响应,即可发现大多数软件漏洞。
本地应用程序中的一些漏洞(如本章描述的“一位偏移”漏洞)相对较易被攻击者利用。但是,许多时候,由于攻击者只能远程访问易受攻击的应用程序,利用它们就变得非常困难。
与查找大多数其他类型的Web应用程序漏洞不同,如果应用程序易受攻击,即使是在其中探查典型的软件漏洞也可能会导致拒绝服务风险。因此,在进行这种测试前,必须确保应用程序所有者接受与其相关的潜在风险。