3. 客戶端軟件

Web應用的客戶端主要是各種瀏覽器，是Web應用的用戶操作界面，與Web艮務端軟件一樣，客戶端軟件也會存在各種安全漏洞（軟件自身漏洞、各種插件和組件漏洞）可被攻擊者利用，從而實行對Web用戶實施攻擊，例如消耗用戶系統(tǒng)資源、非法讀取用戶本地文件、 非法寫入文件、在用戶計算機上執(zhí)行代碼等操作。

在Web客戶端缺陷中，基于Cookie技術(shù)的缺陷廣受抨擊。Cookie是為了辨別用戶身份、 進行session跟蹤而儲存在用戶本地終端上的數(shù)據(jù)，用于解決HTrrP協(xié)議無狀態(tài)的應用問題， 是HTTP協(xié)議的補充。Web服務器利用Cookie中的信息來判斷HTTP傳輸中的狀態(tài)，包括注冊用戶是否已經(jīng)登錄網(wǎng)站，是否保留用戶信息簡化以后操作等。但是由于Cookie在實現(xiàn)上是存儲在客戶端計算機上的一小段文本信息，計算機用戶可以隨意查看存儲在Cookie中的數(shù)據(jù)，

并且Cookie中的內(nèi)容在發(fā)送到服務器之前能夠被用戶進行更改。因此，Cookie機制實際上嚴重影響到用戶的隱私及安全，網(wǎng)站可以利用Cookie收集用戶的訪問記錄，從而獲得用戶的包括身份、銀行卡號等隱私數(shù)據(jù)。而通過偽造Cookie，可以欺騙網(wǎng)站以其他用戶的身份進行操作。