一个WEB应用通常包括操作系统、WEB服务器、WEB应用逻辑和数据库。任何一个部分出现安全漏洞都会影响整个系统的安全性。

操作系统的关键漏洞包括Windows上的RPC漏洞、缓冲区溢出漏洞和安全机制漏洞。

WEB服务器从最初只提供对静态HTML和图片的访问，发展到现在支持动态请求，变得非常庞大。

应用逻辑的安全问题可能是由于编码、框架本身的漏洞或者业务设计不完善而导致。

对WEB安全性的测试取决于需要达到的安全程度。对于一般的业务网站，合理的期望包括能够防范密码试探工具、cookie攻击、敏感数据的明文传输、文件名猜测和HTML文件内容的查看获取重要信息，以及在网站受到工具攻击后在给定时间内恢复并保证重要数据丢失不超过1个小时。不要期望网站可以达到100%的安全。