一些设计不当的网站系统可能包含很多可以被利用的安全漏洞,这些安全漏洞如同给远程攻击者开了一个后门,让攻击者可以方便地进行某些恶意的攻击。例如,公共漏洞和披露网站CVE(Common Vulnerabilities and Exposures)公布了Element InstantShop中的web网页add_2_basket.asp的一个漏洞项,允许远程攻击者通过隐藏的表单变量“price”来修改价格信息。这个表单的形式如下所示: <INPUT TYPE = HIDDEN NAME = "id" VALUE = "AUTO0034"> <INPUT TYPE = HIDDEN NAME = "product" VALUE = "BMW545"> <INPUT TYPE = HIDDEN NAME = "name" VALUE = "Expensive Car"> <INPUT TYPE = HIDDEN NAME = "price" VALUE = "100"> 利用这个漏洞,不怀好意者可以任意设定price字段的值,然后提交给InstantShop网站的后台服务器,从而可能用100美元就可以获得一部BMW545。 技巧:发现类似的安全漏洞的最好方法是进行代码审查。除了代码审查,测试人员还可以利用一些测试工具进行检查,例如:Paessler Site Inspector、Web Developer等。​
