3. 客戶端軟件

Web應(yīng)用的客戶端主要是各種瀏覽器，是Web應(yīng)用的用戶操作界面，與Web艮務(wù)端軟件一樣，客戶端軟件也會(huì)存在各種安全漏洞（軟件自身漏洞、各種插件和組件漏洞）可被攻擊者利用，從而實(shí)行對(duì)Web用戶實(shí)施攻擊，例如消耗用戶系統(tǒng)資源、非法讀取用戶本地文件、 非法寫入文件、在用戶計(jì)算機(jī)上執(zhí)行代碼等操作。

在Web客戶端缺陷中，基于Cookie技術(shù)的缺陷廣受抨擊。Cookie是為了辨別用戶身份、 進(jìn)行session跟蹤而儲(chǔ)存在用戶本地終端上的數(shù)據(jù)，用于解決HTrrP協(xié)議無(wú)狀態(tài)的應(yīng)用問題， 是HTTP協(xié)議的補(bǔ)充。Web服務(wù)器利用Cookie中的信息來判斷HTTP傳輸中的狀態(tài)，包括注冊(cè)用戶是否已經(jīng)登錄網(wǎng)站，是否保留用戶信息簡(jiǎn)化以后操作等。但是由于Cookie在實(shí)現(xiàn)上是存儲(chǔ)在客戶端計(jì)算機(jī)上的一小段文本信息，計(jì)算機(jī)用戶可以隨意查看存儲(chǔ)在Cookie中的數(shù)據(jù)，

并且Cookie中的內(nèi)容在發(fā)送到服務(wù)器之前能夠被用戶進(jìn)行更改。因此，Cookie機(jī)制實(shí)際上嚴(yán)重影響到用戶的隱私及安全，網(wǎng)站可以利用Cookie收集用戶的訪問記錄，從而獲得用戶的包括身份、銀行卡號(hào)等隱私數(shù)據(jù)。而通過偽造Cookie，可以欺騙網(wǎng)站以其他用戶的身份進(jìn)行操作。