架构
大多数web应用可以粗略的划分为三个组件(component)
1、客户端[多数情况下是浏览器]。
2、服务器端 [Web服务器接收客户端的HTTP请求进行响应,Sometimes Web服务器只转发请求到应用服务器(Application Server),由应用服务器端来处理请求]。
3、后端存储 [存储一般是DBMS,用于查询和存储数据].所有组件都有不同行为,这些不同行为将影响漏洞的存在性和可利用性。
所有组件(无论是客户端还是服务器端都有可能产生漏洞或者其它安全问题)
客户端技术
主流的客户端技术每天都在被大量互联网用户使用,包括TML avaScript Flash… 他们常用的浏览器则是 Chrome, Firefox, Opera, IE/Edge, Safari 等。另外,包括Android应用的 webview 以及部分PC客户端应用(比如QQ或者某些游戏登陆器),也会引入一部分 web 客户端技术。
服务端技术
在服务端,尽管使用任何技术的任何Web应用都有或多或少的潜在漏洞,但对于某些特定技术(如PHP, Struts2等)的网站,则相对更容易产生漏洞。简单划分的话服务端技术大概有以下几类。
1、Web服务器(Web Server),包括Apache,Lighttpd,Nginx,IIS.
2、应用服务器(Application Server),包括Tomacat,Jboss,Oracle Application sercer.
3、编程语言,包括`PHP`,`Java`,`Ruby`,`Python`,`C#`,对于后三种语言,一些常见的框架包括 Ruby-on-Rails, .Net MVC, Django 等。后端存储技术
对于大多数中小型网站,数据库和Web服务器是在同一台主机的。常见的后端存储技术包括:
1、关系型数据库,包括`MySql`,`Oracle`,`DB2`,`SQL Server`,`PostgreSQL`,`SQLIte`。
2、NoSQL,包括MongoDB,CouchDB,Redis等。
3、目录访问,包括openLDAP,Active Directory。