WEB安全结构

1.WEB体系结构
在WEB 世界中分客户端和服务端,客户端就是我们常用的浏览器,服务端就是提供WEB服务的服务器。
服务端真正接受处理报文的是web应用服务器,常见的web服务器有Apache,IIS,Tomcat,Nginx等等。

WEB应用服务器是专门提供HTTP服务,它会处理接受到的HTTP请求,最后构建HTTP报文进行响应

WEB应用服务器如何处理HTTP请求?
1.访问URL
2.浏览器发送HTTP请求报文
3.WEB服务器软件判断请求文件扩展名
4.在根根网站目录找到相应的文件
5.构建HTTP响应报文,将文件源代码返回给浏览器
6.服务器端发送HTTP响应报文
7.浏览器渲染解析,呈现画面

WEB应用服务器如何处理HTTP请求一般我们常说的静态网页是以.htm .html为后缀的 文件,这些文件内容一般是HTML+CSS+JavaScript构成。动态网页(如新闻网站是实时更新的,而不是一直不变的)一般是以.php .jsp .asp .aspx为后缀的文件,这些文件一般是由HTML+CSS+JavaScript+后端语言代码构成

WEB应用基本架构:

web应用它其实是由多个要素所组成的一个系统。web应用程序的设计者,web应用服务器,动态脚本引擎(服务端程序语言),数据库是构成web应用必不可少的因素

2.服务器如何被入侵的?
步骤:①信息收集分析②WEB漏洞挖掘与利用③各种安全工具应用
信息收集
利用web漏扫工具AWVS来对站点进行web漏洞扫描。
针对扫描报告结果,优先通过利用SQL注入漏洞,对目标进行拖库
漏洞利用
使用SQL注入漏洞利用工具SQLMAP来检测SQL注入漏洞
利用SQLMAP来获取当前数据库名称,再获取某个数据库下的所有表名称,最后在查看表下的数据

3.WEB安全是什么
WEB应用安全是现代计算机安全界中的一个重要组成部分,我们常说的web安全一般是指web应用中存在着的不安全的隐患,我们称之为“漏洞”
静态页面安全问题:页面篡改,暗恋,黑页等
动态网站时代动态网站安全:SQL注入,XSS,命令执行,文件上传等

你可能感兴趣的:(web)