赞
踩
传统C/S架构的计算——>B/S架构:
静态页面由HTML静态标记语言创建,内容在用户请求页面时不会变化;
而动态页面可以通过服务器端脚本语言和技术根据用户的请求、数据和条件生成不同内容,具有更强的交互能力和灵活性。
HTML: 是一种静态标记语言,用于创建静态页面
Tag标签: 表格等结构标签, 超链接, 内嵌链接, 图片, …
交互能力: 表单, 脚本——>支持动态生成页面
虽然 HTML 本身是静态的,但它可以通过一些元素(如表单和脚本)来支持简单的交互
- 例如,通过表单元素,用户可以输入数据并提交到服务器,而脚本可以用来在页面上动态生成内容
动态页面
CGI
动态页面的创建可以使用诸如 CGI(通用网关接口)这样的技术,它允许服务器执行脚本,并根据请求生成动态内容
脚本语言: 如ASP, JavaScript, PHP, …
交互能力进一步扩展
浏览器技术的发展:
Web服务器软件
HTTP守护进程
Web 服务器软件通常作为一个守护进程(daemon)在服务器上运行
支持各种Web动态编程语言
主流:MS+LAMP
MS: Microsoft,代表了一系列 Microsoft 的服务器软件
LAMP:代表了一种常见的开源 Web 服务器环境,包括:
- Linux(操作系统):作为服务器端的操作系统。
- Apache(Web 服务器软件):提供 HTTP 服务,是最常用的开源 Web 服务器软件之一。
- MySQL(数据库管理系统):用于存储和管理数据的关系型数据库系统。
- PHP/Perl/Python(动态编程语言):用于处理服务器端的动态页面生成和请求处理
Web Application
HTTP 1.0 (IETF RFC 1945), HTTP 1.1 (RFC 2616), 缺省TCP 80端口
是无状态、基于ASCII码明文传递的简单协议
无状态协议:每个请求都是相互独立的
明文传输数据,基于 ASCII 码:数据可以被轻松阅读和理解
请求/响应模式: 请求资源标识符(URI)
客户端通过请求资源标识符(URI)发送请求,服务器响应相应的资源
无状态性、明文性、简单性、流行性—>易受攻击
基于SSL/TLS: 提供对传输层认证(AH)和加密(ESP)
在 HTTP 的基础上加入了 SSL(安全套接层)或 TLS(传输层安全)协议
HTTPS: HTTP over TLS, 缺省TCP 443端口
Cookies 保持连接状态
Cookies允许服务器在客户端存储有关用户的信息,并在后续请求中使用这些信息,以实现用户身份验证、会话管理等功能
基础认证等多种认证协议
收集:
回顾
:网络信息收集技术
逐个手工地审查分析web站点页面源代码往往很繁琐且低效,一些可自动下载与镜像Web站点页面的工具能提升这一工作的自动化程度
- 为了让更多人接受和依赖他们的技术,web服务器软件厂商经常在他们的软件包中包含样本文件和示例代码来演示自己平台的一些新奇用法。
- 由于这些文件知识用来作为演示,往往写得仓促,但在默认的服务器软件安装实例中却一直保留着
未关闭Web服务器的目录遍历,不经意泄漏
Upload、Incoming等目录中转文件时泄漏
- 网站通常允许用户上传文件,例如图片、文档、视频等。如果上传的文件存放在名为 Upload、Incoming 或类似的目录中
- 这些目录没有得到充分的安全保护或检查机制,那么攻击者可能会通过上传特制的恶意文件
缺乏安全意识,在公开的文档中包含个人隐私信息
在公开的个人简历、职称晋升材料、课题申请书等包含科研敏感信息
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。