我们将应用层攻击定义为：未经应用程序拥有者或管理员同意，破坏应用程序、应用程序的用户或由应用程序管理的数据的行为。应用层攻击通常并不依赖于在其下各层使用的攻击技术，尽管应用层攻击有时会使用这类技术（如IP欺骗或TCP会话劫持）来改变应用层攻击传递给目标系统的方式。

应用层攻击之所以会存在，通常是因为程序员是在严格的期限压力下发布的代码，他们并没有足够的时间来发现并解决将会导致安全漏洞的错误。此外，许多程序员未考虑到使用某些特定语言结构将会导致应用程序暴露在隐式攻击下。最后，许多应用程序有着复杂的配置，缺乏经验的用户可能会在部署应用程序时启用了危险的选项，从而导致应用程序的安全性降低。应用层攻击的类型可以分为如下3种。

利用编程错误——应用程序的开发是一个复杂的过程，它不可避免地会产生编程错误。在某些情况下，这些错误可能会导致严重的漏洞，使得攻击者可以通过网络远程利用这些漏洞。这样的例子有：缓冲区溢出漏洞，它来自对不安全的C库函数的使用；以Web为中心的漏洞，如将未经清理的查询传递给后端数据库的Web服务器（这将导致SQL注入攻击），以及将直接来自客户端未经过滤的内容写入页面的站点（这将导致跨站脚本或XSS攻击）。

利用信任关系——有些攻击利用的是信任关系而不是应用程序的错误。对与应用程序本身交互而言，这类攻击看上去是完全合法的，但它们的目标是信任这些应用程序的用户。钓鱼式攻击就是一个这样的例子，它的目标并不是Web应用程序或邮件服务器，而是访问钓鱼网站或电子邮件信息的用户。

耗尽资源——像网络层或传输层的DoS攻击一样，应用程序有时候也会遭受到大量数据输入的攻击。这类攻击将使得应用程序不可使用。