3.4 下一步

到现在为止,我们已经介绍了Web应用程序的当前安全(风险)状况,分析了Web应用程序的核心防御机制,并简要介绍了当今应用程序所采用的关键技术。基于这些基础知识,现在我们将开始研究渗透测试员如何向Web应用程序发动攻击。

在实施任何攻击之前,首要任务是仔细分析目标应用程序的内容及功能,了解它的工作原理、防御机制及其使用的技术。我们将在下一章详细介绍这个解析过程,说明如何通过它深入了解应用程序的受攻击面。实践证明,这个过程对于渗透测试员发现并利用目标应用程序的安全漏洞至关重要。