全栈网络安全|渗透测试-1

网站四大件

系统
系统是指服务器上运行的操作系统，它是承载网站运行的基础。常见的操作系统包括Linux（如Ubuntu、CentOS）、Windows Server等。操作系统负责管理硬件资源，并为运行在其上的软件提供一个稳定的环境。
中间件
中间件是介于操作系统、数据库管理系统与应用程序之间的软件。它用于解决分布式系统的异构网络环境下软件之间的互连与互操作问题，便于开发者专注于业务逻辑而不必担心底层技术细节。常用的中间件有Web服务器（如Apache HTTP Server、Nginx）、应用服务器（如Tomcat、JBoss/WildFly）等
数据库
数据库用于存储网站的所有数据，如用户信息、产品详情、交易记录等。根据数据的组织形式，数据库可以分为关系型数据库（如MySQL、PostgreSQL、Oracle）和非关系型数据库（NoSQL，如MongoDB、Redis）。选择合适的数据库对于确保网站性能至关重要。
源码
源码是实现网站功能的具体编程代码，包含了前端展示（HTML、CSS、JavaScript等）、后端逻辑（Java、PHP、Python、Node.js等语言编写）以及与其他组件交互的代码。源码的质量直接影响到网站的功能性、安全性及可维护性。

中间件的配置

身份验证

中间件的身份验证主要用于确保只有经过授权的用户才能访问特定资源。这通常涉及到检查用户的凭据（如用户名/密码、令牌等）并决定是否允许请求继续进行。

目录权限

虽然直接与“目录权限”相关的中间件不多，但可以通过编写自定义中间件来限制对某些路径下的资源的访问，或者结合文件系统模块（如Node.js中的fs模块）来实现对文件目录的访问控制。

解析规则

解析规则通常涉及URL重写、路由匹配等操作，很多Web框架都内置了强大的路由功能，允许开发者灵活地定义路由规则。

常规Web应用搭建

搭建流程

购买云服务器
购买域名
云服务器搭建中间件（例如window搭建iis）
下载并上传web程序源码
添加网站并绑定域名目录

搭建模式

端口模式
不同端口对应网站不同
www.baidu.com
www.baidu.com:8080
子域名模式
不同子域名对应网站不同
www.baidu.com
haokan.baidu.com
目录模式
www.baidu.com/zbld
www.baidu.com/tds

Web其它搭建

Docker容器

想象一下你正在做一个手工艺品项目，需要特定的工具和材料。Docker就像是一个神奇的盒子，你可以把所有你需要的东西都放进这个盒子里，无论你去哪里，只要带着这个盒子，你就能在任何地方继续你的项目，而不用担心缺少什么。对于Web开发来说，Docker让你能够把网站所需的所有软件和配置打包在一起，这样不管是在你的电脑上还是服务器上运行，都能保证一切正常工作。

集成软件

集成软件就像是一位全能助手，它能帮你把不同的任务整合起来，让事情变得简单。比如，如果你要制作一个视频，你可能需要使用多个软件来剪辑、添加音乐和特效。集成软件就像是把这些功能都集中到一起的应用程序，你只需要在一个地方操作就能完成所有的步骤。在Web开发中，集成软件可以帮助自动处理代码测试、更新网站等任务，减少手动操作的工作量。

分配站

这个术语在这里可能指代的是服务器或服务分配策略，即如何有效地分配网络资源、处理请求或是分发内容给用户。例如，在构建高可用性的Web应用时，可能会用到负载均衡器来分配来自客户端的请求到不同的服务器上，以保证系统的稳定性和响应速度。另外，“分配站”也可能指的是内容分发网络（CDN）的一个节点，用于缓存并快速提供静态资源给最终用户。

web程序源码

开源

定义：开源指的是软件的源代码对公众开放，任何人都可以查看、修改和分发该软件。这种模式促进了协作和技术进步。

优势：
- 社区支持：开源项目通常有一个活跃的社区，可以提供帮助和支持。
- 透明性：用户可以审查代码的安全性和功能。
- 成本效益：大多数情况下是免费使用的，降低了开发成本。
例子：WordPress是一个非常流行的开源博客和网站内容管理系统；还有如Laravel（PHP框架）和Django（Python框架），它们都为开发者提供了强大的工具集来加速开发过程。

商业

定义：商业软件是指由公司或个人开发并销售的软件，其源代码通常是闭源的，即不对外公开。

优势：
- 专业支持：购买软件通常会附带技术支持服务。
- 质量保证：经过严格的测试和质量控制流程，确保了较高的稳定性和安全性。
- 独特功能：可能包含一些开源版本不具备的专业或高级功能。
例子：Adobe Dreamweaver是一款专业的网页设计和编辑软件；Shopify是一个电子商务平台，它为企业提供创建在线商店的服务，并且有多种付费计划可供选择。

自写

定义：自写代码意味着从零开始或者基于现有的库/框架自行开发软件，满足特定需求或实现特定功能。

优势：
- 定制化：可以根据自己的具体需求进行开发，实现所需的所有功能而不必妥协。
- 学习与成长：对于开发者来说，这是一个提升技能的好机会。
- 知识产权：拥有完全的知识产权，不用担心版权问题。
挑战：
- 时间和资源消耗：需要投入大量的时间来进行规划、开发、测试等。
- 维护责任：所有后续的更新和维护工作都需要自己承担。

开源

源码可见

开源项目的核心特点就是其源码是公开透明的。这意味着：

透明度高：任何人都可以审查代码的安全性、功能等。
社区驱动：通过社区贡献，开源软件可以获得更快的改进和修复。
学习资源：为开发者提供了学习和借鉴的机会，有助于技术成长。

源码不可见

加密

虽然直接加密整个应用程序的源码并不是一个常见的做法（尤其是在开源环境中），但有几种方式可以在一定程度上保护源代码不被轻易读取或理解：

编译后发布：将源代码编译成机器码或字节码（如Java编译为.class文件，Python可以通过pyc文件）发布，而不是直接提供源代码。这样做的目的是增加阅读和理解原始代码的难度。
代码混淆：特别是在JavaScript等脚本语言中，开发者可能会使用代码混淆工具来打乱代码结构，使得即使获取了源码也难以阅读和理解。

语言特性

不同的编程语言有不同的特性和机制，可能会影响代码的可见性和安全性：

解释型语言 vs 编译型语言：像Python这样的解释型语言在执行时需要保持源码的形式（除非进行编译或混淆），而C++等编译型语言则在编译阶段将源代码转换为机器语言，从而提高了代码的保密性。
虚拟机和字节码：一些语言（如Java、C#）编译成中间字节码，在运行时由虚拟机解释执行。这种机制既保留了一定程度的灵活性，又增加了直接从字节码反编译回源码的难度。
闭源库：即使是开源项目，也可能依赖于闭源的第三方库或组件。这些库虽然集成到了项目中，但其内部实现细节对外部用户来说是不可见的。

数据库

本地数据库

定义：本地数据库指的是安装并运行在您自己的服务器或计算机上的数据库系统。它允许您对数据的存储位置、管理方式有完全的控制权。

优点：
- 控制力强：您可以直接管理和配置数据库环境。
- 安全性高：由于数据保存在本地，减少了外部访问的风险。
缺点：
- 维护成本高：需要自行负责硬件维护、软件更新和故障恢复等。
- 扩展性有限：相比云服务，扩展资源（如增加存储容量或提高计算能力）可能更复杂且成本更高。

站库分离

定义：站库分离是指将网站的应用程序部分（前端与后端逻辑）与数据库分开部署，通常位于不同的服务器上。这样做可以提高性能、安全性和可扩展性。

优点：
- 提升性能：减少单个服务器的负担，提高响应速度。
- 增强安全性：即使攻击者获得了应用程序服务器的访问权限，他们也无法直接访问数据库。
- 易于扩展：可以根据需要单独扩展应用层或数据库层。

云数据库

定义：云数据库是通过互联网提供的数据库服务，用户无需购买硬件或安装软件即可使用。常见的提供商包括阿里云、AWS、Google Cloud等。

优点：
- 易用性：快速部署，易于管理。
- 高可用性：大多数云数据库提供自动备份和灾难恢复功能。
- 弹性伸缩：根据需求动态调整资源配置。
缺点：
- 依赖网络连接：性能受网络状况影响。
- 费用：长期使用成本可能较高，特别是对于大型企业级应用。

OSS对象存储

定义：OSS即对象存储服务，是一种用于存储大量非结构化数据的服务，例如图片、视频、文档等。阿里云OSS是一个典型的例子。

优点：
- 海量存储：适合存储大量文件，支持无限扩展。
- 低成本：按实际使用的存储量计费，非常适合预算有限的项目。
- 高可靠性：提供了数据冗余和持久性保障，确保数据的安全。
缺点：
- 不适合事务处理：由于其设计目的主要是为了存储静态内容，因此不适合用来替代传统的关系型数据库执行复杂的查询或事务操作。