Web安全测试—什么是Web应用

　　Web应用具有各种各样的形式和规模。使用各种语言编写，运行在各种操作系统上，以各种方式运行。

　　Web应用的核心在于，它的所有功能都是使用HTTP进行通信的，结果通常采用HTML格式，输入是使用GET,POST及类似方法进行通信的。

　　要成为Web应用，必须执行某种类型的业务逻辑（脚本、程序、宏等等），输出中必须存在某种可能的变化，必须做出一些判断，否则，我们实际上并不是在测试软件。

　　一些专业名称：

　　安全套接层　　SSL 

　　传输层安全　　TLS

　　面向服务架构　SOA

　　电子数据交换　EDI

　　行业认可的一些标准术语：

　　服务器：监听HTTP连接的计算机系统。这种系统上通常运行这服务器软件（比如Apache或微软的IIS）来处理这些连接。

　　客户端：建立到服务器的连接，请求数据的计算机或软件。客户端软件最常见的是网页浏览器，还有大量其他软件也会发送请求。如：播放软件、阅读器、JAVA应用程序等。

　　请求：请求封装了客户端想知道的内容。请求由几部分组成，全部定义：URL、参数以及Head头信息形式的元数据。

　　URL：统一资源定位符（URL）是一种特殊类型的统一资源标示符。是指出我们视图通过HTTP进行操作的内容的位置。URL由一种协议组成（这里仅考虑HTTP和HTTPS）。协议后紧跟着标准记号（://），将协议与地址其余部分分隔开来。接着是可选的用户ID，可选的冒号以及可选的密码，然后是要连接的服务器的名称。服务器名称后是资源在这台服务器上的路径。资源有可选的参数。最后，可能会使用“#”字符来引用内部段落或页面主体内部的锚记。http://user:psw@www.example.com/private.asp?doc=1&part=2#footer

　　参数：参数是键-值对，键和取值之间用等号（=）连接。URL中可以有许多参数，以“&”分隔。参数放在URL中传递，也可以放在请求主体中。

　　方法：向服务器发出的每个请求都需要采用某种方法。最常见的两种方法是GET和POST。当在网页浏览器中输入URL并按下Enter键，或在单击链接时，基本都是GET请求。当单击表单上的按钮，或进行图像上传等较复杂的操作时，基本都是POST请求。其它的一些方法，主要用在被称为分布式创作和版本控制（DAV）的协议中，如 PROPFIND、OPTIONS、PUT、DELETE。