尽管存在巨大差异,但几乎所有的Web应用程序都以某种形式采用相同的核心安全机制。这些机制是应用程序应对恶意用户所采取的主要防御措施,因而应用程序的受攻击面大部分也由它们构成。我们在本书后面介绍的漏洞也主要源于这些核心机制中存在的缺陷。
在这些机制中,处理用户访问和用户输入的机制是最重要的机制。当针对应用程序发动攻击时,它们将成为主要攻击对象。利用这些机制中存在的缺陷通常可以完全攻破整个应用程序,使攻击者能够访问其他用户的数据、执行未授权操作以及注入任意代码和命令。
