Web应用安全的目标是：保护Web站点、应用程序和服务不受那些针对应用级源代码弱点的、各种新增加的或原有的安全威胁。

  web常见安全漏洞：

  1.确认输入输出。

  2.制度设计缺陷。

  3.环境不足。

  Web应用渗透测试是什么？

  各种Web服务器，无论是在企业内部，在本地，还是在云端，都经常面临各种恶意源的攻击。为减少这类风险，网络安全专家需要模拟一系列针对Web应用、网站或服务的攻击方式，以便发现网络攻击者可以轻易利用的各种漏洞，识别潜在威胁，掌握组织总体应用的安全态势。这就是Web应用渗透测试的过程。

  渗入测试思想：

  一、资料收集。

  二、攻击测试。

  三、提高权限。

  四、攻击测试。

  网络应用安全测试的关键步骤包括：确定被测试组织的业务范围、目标和安全状况，收集、分析网络应用的设置，漏洞扫描分析，利用扫描阶段发现漏洞的深度分析，测试选择各种可用的技术和方法，实施渗透“攻击”。

  大部分渗入测试工具属于自动化的范畴：

  一、Zed攻击代理(ZAP)

  二、Burp Suite Pro

  三、Veracode

  四、SQLMap

  五、Vega

  六、Arachni

  七、Dirb

  入侵手段：1.暴力破解2.谷歌黑语法

  Web应用在进行安全测试时所用的一些测试方法和工具，基本上都是国外的，或者在kali上自带的，工具是非常独特的，它的核心思想是不会改变的，对于我们学习安全知识来说，了解工具的原理，了解安全问题产生的原因，这是最关键的，只要了解原理，实现自动化工具就很容易了。

  伴随着企业信息化建设的进行，将越来越多的重要数据以电子介质的形式存储起来，在给企业办公带来便利的同时，也带来了极大的安全隐患。近几年来，随着APT攻击的蔓延，使越来越多的企业遭受到无法弥补的损失。对每个漏洞的真实威胁进行渗透测试，同时帮助用户真正了解漏洞的原因，做到自主可控可防。