web应用工作原理

1、web应用工作原理静态网页：html或者htm，是一种静态的页面格式，不需要服务器解析其中的脚本。由浏览器如(IE、Chrome等)解析。1. 不依赖数据库2. 灵活性差，制作、更新、维护麻烦3. 交互 差，在功能方面有较大的限制4. 安全，不存在SQL注入漏洞动态网页：asp、aspx、php、jsp等，由相应的脚本引擎来解释执行，根据指令生成静态网页。 1.依赖数据库2. 灵活性好，维护简便3. 交互性好，功能强大4. 存在安全风险，可能存在SQL注入漏洞web应用工作原理正常用户访问网页的具体流程如下图：在Article表中查询id为36的所有记录数 据 库返回查询到的所有记录请求返回获

2、取参数ID的值为36，动态构造SQL语句：Select * from Article whereid=36 ，向数据库发起查 处理返回的所有记录询请求脚本引擎，如过滤和编码特殊字符等，生成静态网页并返回给客户端请求返回访问的链接为/Articl e.php?id=36客 户 端将网站返回的网页展示给用户 漏洞利用流程攻击网站（sql注入）的具体流程如下图：在Article表中查询id为36的所有记录并查询了管理员账号数 据 库返回查询到的所有记录请求返回SQL语句：Select * from Article where id=36 union select user

3、,pass from admin，向数据库发起查询请求 脚本引擎请求返回构造链接/Articl e.php?id=36 union select user,pass from admin（标红部分是联合查询admin表的管理员账号） 客 户 端处理返回的所有记录，如过滤和编码特殊字符等，生成静态网页并返回给客户端将网站返回的网页展示给用户（此时的内容就含有管理员信息） 服务器 Windows 代表：Windows2003、Windows2008、 常见漏洞：“永恒之蓝”（MS17-010），MS08-067(比较古老 但很经典的漏洞) Linux 代表Ubuntu、

4、Centos、Redhat 常见漏洞：脏牛漏洞、sudo漏洞web服务器 Web 服务器也称为 HTTP 服务器，它是响应来自浏览器的HTTP请求，并且发送出网页文件的软件。 当访问者在浏览器的地址文本框中输入一个 URL，或者单击在浏览器中打开的 网页上的某个链接时，便生成一个网页请求。 常见的web服务器：IIS、Apache、Nginx、tomcat、weblogic.web服务器 IISIIS（Internet 信息服务器）是Internet Information Services 的缩写，是微软提供的Internet服务器软件，包括WEB、FTP、SMTP等服务器组件。 常见漏洞：

5、IIS短文件泄露、IIS解析漏洞、IIS6.0远程代码执行 ApacheApache是Apache软件 的一个开放源码的网页服务器， 世界使用排名第一的Web服务器软件 常见漏洞：apache解析漏洞、Apache日志文件漏洞web服务器 NginxNginx是一个高性能的HTTP和反向服务器，也是一个IMAP/POP3/SMTP服务器。 常见漏洞：Nginx解析漏洞、整数溢出漏洞 TomcatTomcat 服务器是一个免费的开放源代码的Web 应用服务器， 属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。 常见漏洞：tomcat弱口

6、令、tomcat远程代码执行、本地提权web服务器 WeblogicWeblogic是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 常见漏洞：java反序列化、SSRF(服务器端请求)数据库 数据库数据库是按照数据结构来组织、存储和管理数据的“仓库”。 结构化查询语言结构化查询语言(Structured Query Language)简称SQL，结构化查询语言是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统。 数据库分类MySQL、MSSQL、Access、Oracl

7、e、Sqlite 数据库管理软件Phpmyadmin、navicat开发语言及常见框架/cms PHP开发框架：CodeIgniter、ThinkPHPcms(内容管理系统):phpcms、dedecms、qibocms. ASPcms:aspcms、动易cms、南方数据. .NETcms:SiteServer JSP开发框架：struts2、Spring MVCcms:jeecms、大汉cmsweb常见架构 LAMP Linux+Apache+MySQL+PHP适用于大型网站架构，稳定性高，常见于企业网站 WAMP Windows+Apache+MySQL+PHPweb常见架构其他常见组合：PHP+IIS（IIS常和asp和aspx搭配）部分网站可能会使用这种架构