问检测web应用程序和桌面应用程序中的漏洞

EN

OWASP的前10名列表是一个很好的开始：

Category: OWASP Top Ten Project

绝大多数的网络安全漏洞都属于这些类别。

对于初学者来说，CSS、HTML和JS实际上并不会增加应用程序的不安全感。有DOM Based XSS，但这种情况很少见。相比之下，每年在Java和C中都会发现许多漏洞。

有两种主要的方法可以发现代码中的漏洞。使用grep或Rats等工具或更高级的工具(如Fortify和Coverity提供的工具)进行静态代码分析。

另一种方法是模糊化应用。对于寻找非web应用程序中的缓冲区溢出等问题，Peach是一个优秀的测试平台。要测试web应用程序的常见漏洞，如XSS和SQL注入，那么您应该使用Wapiti(开源)或Sitewatch (免费服务)等工具。