近年来，应用几乎普及到世界各地，可以说已经成为互联网的代名词，但接下来是越来越显着的安全问题。人们在享受应用带来的便利的同时，也要忍受无法预测的安全风险。目前，应用的安全问题已经成为制约互联网应用进一步发展的重要问题之一。针对这种现状，本文将对应用安全测试相关理论和技术进行研究和讨论。

应用程序的基础理论。应用程序的系统结构。应用程序是指在或环境下使用客户浏览器和服务器的新软件系统。由于应用程序架设在服务器上，用户使用应用程序，除了在计算机上安装标准的浏览器外，无需安装其他客户端软件，用户的计算机系统不受硬件平台的限制。

客户端防火墙服务器应用服务器数据库服务，整个应用系统结构包括客户端、服务器、应用服务器、数据库服务器等组件，其具体工作原理如下：用户在客户端运行浏览器向服务器发送数据库访问要求，服务器通过默认的端口与客户端连接，接收来自客户端的要求，然后将要求传递给后台的应用服务器和数据库服务器处理，处理完成后将结果响应给服务器，服务器将结果转换成一种形式，然后转发给客户端浏览器，以页面的形式显示给用户。

对于整个应用程序来说，由于用户实时面对的是客户端浏览器，所以在使用它的时候只需要提交数据访问请求，然后的业务逻辑处理由应用服务器和数据库服务器共同完成，这个过程对用户来说是透明的。目前应用主要应用于企业办公自动化和网络协同计算、电子政务、电子商务、医疗电子化等方面，涉及企业办公、政府机密、网络交易、用户隐私等大量敏感信息的处理任务，安全性无疑很重要。但是，在应用程序的实际运行中，尽管配置了防火墙等很多网络安全设备，但由于应用程序的服务必须对外开放，因此等服务的访问端口(、等端口)也必须对外开放，通过这些端口的网络数据包不会被安全设备栏切断，应用程序显然，只要应用程序有可能被利用的漏洞，攻击者就有机会乘坐它。因此，对应用程序中可能存在的漏洞进行充分有效的渗透测试非常必要和紧迫。

web面临的安全威胁，是一个开放社区、非盈利组织，致力于长期发现和解决web的安全问题。该组织最重要的项目之一是应用程序的大安全威胁，即通常所说的，周期更新，总结了目前应用程序最常受到的各种攻击，并根据攻击发生的频率进行排序。其目的是发掘行业最严重的应用程序安全威胁。

加强用户对应用的安全意识。该项目在年度上发布了最新版本的应用大安全威胁，表格结合，这两年的数据与年度最新版本中的大安全威胁进行比较，根据威胁严重程度的高低从上到下排列，年度发布的微小变化。由此可见，web本身的漏洞所造成的安全威胁占有非常高的比例，其中以注入漏洞为主体的注入类攻击、跨网站脚本攻击等造成的安全威胁最为严重，一直保持在排名的前列。