在執行漏洞評估和滲透測試時，我們通常糾結于操作系統級別的漏洞，最終忽視了Layer 7問題。由于在遠程登錄和SSH的Linux系統上存在許多攻擊面，因此這是一個非常危險的陷阱。事實上，在我看來，多數基于Linux的缺陷位于應用層。可能是Apache、PHP或OpenSSL，或者只是一般的錯誤配置，如果漏洞可以通過HTTP訪問，那就更危險了。

常見的漏洞有SQL攻擊和跨站點腳本，對于Linux Web安全來說還有更多。下面列出的是我經常看見的基于Linux的系統上的其他Web安全漏洞，供你參考，便于降低與Web相關的風險：

PHP代碼入侵會允許惡意代碼直接執行。我見到過服務器端腳本引擎接受未過濾的PHP輸入，運行在服務器上，提供系統級別的服務器訪問。

使用HTTP GET請求而不是POST請求通過用戶名和密碼。這個缺點能造成允許Web應用和操作系統級別的特權擴展。

密碼弱連同入侵者鎖定的缺少。我曾發現使用自動的密碼破解者，如Brutus和舊有的登錄猜測器，通常，當出現弱登錄時，獲取在Web站點或應用的未授權訪問非常簡單。

弱的文件和目錄權限會允許系統列舉。我常發現備份或測試文件包含舊有和未經維護的代碼，提供了不是每個人都需要看見的信息。