信息安全工程师教程摘录：应用系统安全基础 Web安全威胁

从某种程序上说，没有 Web就没有 Internet。然而 Web应用程序及 Web站点往往很容易遭受各种各样的入侵，Web数据在网络传输过程中也很容易被窃取或盗用。因此如何能够使 Web及数据传输更加安全，就显得尤为重要。
如今，Web业务平台已经在电子商务、企业信息化中得到广泛应用，很多企业都将应用架设在 Web平台上，Web业务的迅速发展也引起了黑客们的强烈关注，他们将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web业务的攻击上。黑客利用网站操作系统的漏洞和 WEB服务程序的 SQL注入漏洞等得到 Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。
Web威胁的目标定位有多个维度：有个人、公司、还有某种行业，都有其考虑，甚至国家、地区、性别、种族、宗教等也成为发动攻击的原因或动机。
攻击还会采用多种形态，甚至是复合形态，比如病毒、蠕虫、特洛伊、间谍软件、僵尸、网络钓鱼电子邮件、漏洞利用、下载程序、社会工程、 rootkit、黑客，结果都可以导致用户信息受到危害，或者导致用户所需的服务被拒绝和劫持。
从其来源说 Web威胁还可以分为内部攻击和外部攻击两类。前者主要来自信任网络，可能是用户执行了未授权访问或是无意中定制了恶意攻击；后者主要是由于网络漏洞被利用或者用户受到恶意程序制定者的专一攻击。