web系统架构

1 web 工作机制

　　什么是WEB
　　　　- 万维网(World Wide web) ， 是一个由许多互相链接的超文本文档组成的系统。
　　Web 的重要概念
　　　　- 资源： web 系统中对象称为资源
　　　　- URI: 统一资源标识符， 用于只一个资源（ HTM L 文档、图像、视频片段、程序）。是一个相对服务器的地址例如 /aaa/bbb/1.php
　　　　- URL ： 统一资源定位符（ URI 的一个子集）。例如  http://www.baidu.com/aaa/bbb/1.php
　　　　- HTTP: 超文本传输协议， 用于传输资源， 使用者通过http 来获得资源。应用层协议。HTTPS

2 web站点架构

1. 浏览器的作用：用户提交请求给服务器，将服务器返回的响应解析出来
2. web服务器：接受用户请求，并给用户做出响应，Windows下有IIS ，Linux下有Apache、Nginx
3. web应用：用php、jsp、asp、aspx等开发语言开发一个web应用程序（博客、购物网站等）。运行在服务器上
4. 数据库：存储数据，数据库有一个接口，在应用程序中指定连接数据库的账户密码
5. 中间件：举个例子，在Linux环境下，用Apache作为服务器想要运行一个Java程序，还需要Tomcat环境的支持，Tomcat就是一个中间件。目前Apache等服务器和中间件的区分越来越少，可以广泛理解为中间件是Apache、IIS、Nginx、Tomcat、Jboss的统称。

web架构中每一个地方都存在被攻击的可能

http明文的会被嗅探抓包，web服务器存在安全漏洞，数据库漏洞，最主要的web应用漏洞是写程序本身的漏洞（SQL注入、xss）。xss就是浏览器的漏洞，浏览网站时挂马，在网站服务器的页面中嵌入连接，链接在另一台服务器上会下载木马程序到客户端，浏览器有漏洞的话会自动执行。

 3 web应用的层次

web应用CMS：文章管理系统不需要用户写代码 可以直接创建，搭建自己开源的博客（例如WordPress、discuz）

4 web安全问题

4.1web 服务端软件安全问题

• 服务支撑软件安全问题

　　　　- 软件自身安全漏洞
　　　　　　例： IIS5.0 超长URL拒绝服务漏洞
　　　　　　例： Unicode解码漏洞
　　　　- 软件配置缺陷
　　　　　　默认账号、口令
　　　　　　不安全的配置
　　　　　　例：IIS配置允许远程写入

4.2 web 程序安全问题

• 输入输出处理
• 会话控制
• 文件系统处理
• 用户访问机制
• 日志处理

4.3 WEB 浏览器安全问题

• web浏览器

　　　　- WEB 应用的客户端
　　　　- 展示网页供用户查看和支持用户操作
　　　　- lnternet Explorer 、Firefox 、Opera 和Safari 等

• 可能存在安全漏洞

　　　　- 基于Cookie 的攻击

• 可能存在软件配置缺陷