3. 客户端软件
Web应用的客户端主要是各种浏览器,是Web应用的用户操作界面,与Web艮务端软件一样,客户端软件也会存在各种安全漏洞(软件自身漏洞、各种插件和组件漏洞)可被攻击者利用,从而实行对Web用户实施攻击,例如消耗用户系统资源、非法读取用户本地文件、 非法写入文件、在用户计算机上执行代码等操作。
在Web客户端缺陷中,基于Cookie技术的缺陷广受抨击。Cookie是为了辨别用户身份、 进行session跟踪而储存在用户本地终端上的数据,用于解决HTrrP协议无状态的应用问题, 是HTTP协议的补充。Web服务器利用Cookie中的信息来判断HTTP传输中的状态,包括注册用户是否已经登录网站,是否保留用户信息简化以后操作等。但是由于Cookie在实现上是存储在客户端计算机上的一小段文本信息,计算机用户可以随意查看存储在Cookie中的数据,
并且Cookie中的内容在发送到服务器之前能够被用户进行更改。因此,Cookie机制实际上严重影响到用户的隐私及安全,网站可以利用Cookie收集用户的访问记录,从而获得用户的包括身份、银行卡号等隐私数据。而通过伪造Cookie,可以欺骗网站以其他用户的身份进行操作。