Web 构成组件
一、Web服务器
概念:对外提供静态页面Web服务的软件系统
作用:1.处理HTTP协议
2.接受、处理、发送静态页面
3.处理并发
二、Web容器
概念:为满足交互需求,获取动态结果而提供一些扩展机制能够让HTTP服务器调用服务端程序
作用:处理动态页面请求
Web服务器与Web容器的关系&区别(以Apache和tomcat为例)
1.Apache是Web服务器,处理浏览器的HTT请求
2.Tomcat是一个Servlet容器(类似Apache扩展),可独立运行,运行在Apache上
3.Apache只支持HTML等静态普通网页,可单向连通Tomcat,反之不然
4.Tomcat支持JSP、PHP和CGI等
5.Apache侧重HTTP Server,Tomcat侧重于Servlet引擎
Web访问流程如下:
用户输入url→DNS域名解析
→建立TCP链接(三次握手)→发送HTTP Request
→Web服务器响应→应用服务器响应
→关闭TCP链接(四次挥手)→用户浏览器渲染页面
常见Web漏洞
1.跨站脚本攻击(XSS)
类型:反射型、存储型、DOM型
危害:盗取cookie、XSS蠕虫攻击、会话劫持、钓鱼攻击
2.SQL注入
类型:数据型 selece * from table where id = 1
字符型 selece * from table where username = 'flag'
危害:数据库信息泄露、数据篡改、挂马等
3.文件上传漏洞
类型:php上传、Asp上传、Jsp上传、ASPX上传等等
危害:恶意文件传递给解释器,从而链接服务器,查看敏感文件
4.命令执行
5.文件包含漏洞
常见包含函数:include()、require()
类型:本地包含
远程包含