Otro interesante tema para los atacantes maliciosos, es el hecho de las aplicaciones web interactúan con virtualmente todos los sistemas centrales de la infraestructura dentro de una empresa. Es común pensar la aplicación web es sólo código el cual se ejecuta sobre un servidor web, escondido de manera segura en una DMZ, incapaz de causar daños internos graves a la empresa. Existen muchas áreas adicionales sobre una infraestructura de TI, las cuales se necesitan considerar para enfocarse completamente en atacar un sistema, porque el alcance de las aplicaciones web es mucho más amplio a código escrito por un programador. Los siguientes componentes necesitan ser considerados como posibles vectores para ataque.

• Servidor de Base de Datos y Base de Datos: El sistema el cual hospeda la base de datos utilizada por la aplicación web, puede ser vulnerables a ataques los cuales permiten datos sensibles sean creados, leídos actualizados, o borrados.
• Servidor de Archivos: El sistema, frecuentemente una unidad mapeada sobre un servidor, permite la funcionalidad para subir y descargar archivos, el cual puede ser vulnerable a ataques los cuales permiten acceder hacia recursos del servidor por parte de un atacante malicioso.
• Componentes de terceros: Módulos de código, como un sistema para la gestión de contenidos (CMS), son definitivamente un objetivo por ser ampliamente adoptados, y porque existe una amplia documentación sobre estos sistemas.

Fuentes:

https://en.wikipedia.org/wiki/Content_management_system
https://www.acunetix.com/websitesecurity/web-app-security/