作為一名網(wǎng)絡(luò)安全工程師，尤其是WEB滲透測試工程師，必須掌握一些WEB相關(guān)的基礎(chǔ)知識，下面重點(diǎn)從WEB服務(wù)架構(gòu)、瀏覽器請求過程、服務(wù)器操作系統(tǒng)、WEB應(yīng)用服務(wù)器、數(shù)據(jù)庫系統(tǒng)、動態(tài)網(wǎng)站腳本語言、WEB前端框架等。

1.Web服務(wù)架構(gòu)

Web服務(wù)主要分為C/S架構(gòu)和B/S架構(gòu)。下面做一下分別介紹。C/S架構(gòu)指客戶端/服務(wù)器架構(gòu)，客戶端是一個程序安裝在電腦上，專門用于和服務(wù)端連接，跨平臺能力差，跨平臺則需要重新開發(fā)客戶端，現(xiàn)在這種架構(gòu)基本上被棄用了，除非有特殊場景要求。

B/S架構(gòu)指瀏覽器/服務(wù)器架構(gòu)，不需要安裝客戶端軟件，通過瀏覽器訪問服務(wù)器，業(yè)務(wù)擴(kuò)展簡單方便。

2. 瀏覽器請求過程

首先由客戶端發(fā)起DNS域名解析，將訪問的域名解析成IP地址。然后客戶端向服務(wù)器發(fā)起TCP三次握手建立連接后(建立過程在此省略)，發(fā)送HTTP請求。服務(wù)器收到請求后回復(fù)HTTP響應(yīng)數(shù)據(jù)包。瀏覽器解析通過HTTP響應(yīng)數(shù)據(jù)包傳輸過來的HTML代碼，最后瀏覽器對頁面進(jìn)行渲染，這是瀏覽器請求的大致過程。

3. 服務(wù)器操作系統(tǒng)

操作系統(tǒng)是管理計(jì)算機(jī)硬件與軟件的程序。操作系統(tǒng)主要包括windows和Linux兩種操作系統(tǒng)，Windows是閉源的，Linux是開源的。Windows服務(wù)器操作系統(tǒng)主要包括Windows Server系列;Linux服務(wù)器操作系統(tǒng)主要包括Redhat、SUSE、Ubuntu、Centos、Rocky linux，其中國產(chǎn)操作系統(tǒng)也是基于Linux的，比如中科方德、銀河麒麟、統(tǒng)信UOS、中標(biāo)麒麟、麒麟信安、普華Linux、中興新支點(diǎn)、紅旗Linux、華為歐拉等。

4.Web應(yīng)用服務(wù)器

Web應(yīng)用服務(wù)器包括IIS、Apache、Tomcat、Nginx、WebLogic、JBoss等，下面簡單介紹一下常見的Web應(yīng)用服務(wù)器。IIS是微軟提供的互聯(lián)網(wǎng)服務(wù)，集成在Windows服務(wù)器操作系統(tǒng)中。Apache是全球用得最多的Web服務(wù)器，支持跨平臺應(yīng)用，源代碼開放。Tomcat是一個免費(fèi)開源的輕量級Web應(yīng)用服務(wù)器。Nginx是一款輕量級的Web 服務(wù)器/反向代理服務(wù)器及電子郵件(IMAP/POP3)代理服務(wù)器，其特點(diǎn)是占有內(nèi)存少，并發(fā)能力強(qiáng)。WebLogic是用于開發(fā)、集成、部署和管理大型分布式Web應(yīng)用、網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫應(yīng)用的Java應(yīng)用服務(wù)器。

是一個基于J2EE的開放源代碼的應(yīng)用服務(wù)器。

5.數(shù)據(jù)庫系統(tǒng)

數(shù)據(jù)庫就是按照數(shù)據(jù)結(jié)構(gòu)來組織、存儲和管理數(shù)據(jù)的倉庫，下面簡單介紹一下常見的數(shù)據(jù)庫系統(tǒng)。Access是由微軟發(fā)布的中小型關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。Sqlserver是由微軟發(fā)布的大型關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。Mysql是一款開放源代碼的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，但是現(xiàn)在已經(jīng)被Oracle收購，Mysql的創(chuàng)始人重新打造了一款開源的MariaDB數(shù)據(jù)庫。Oracle是甲骨文公司的一款關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。Redis 是一個高性能的開源的分布式key-value數(shù)據(jù)庫。Memcached是一套分布式的快取系統(tǒng)，與redis相似,。MongoDB是一個基于分布式文件存儲的數(shù)據(jù)庫，介于關(guān)系數(shù)據(jù)庫和非關(guān)系數(shù)據(jù)庫之間的產(chǎn)品，是非關(guān)系數(shù)據(jù)庫當(dāng)中功能最豐富，最像關(guān)系數(shù)據(jù)庫的。PostgreSQL是一個功能非常強(qiáng)大的、源代碼開放的客戶/服務(wù)器關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。SQLite是一款非常輕量級的關(guān)系數(shù)據(jù)庫系統(tǒng)，主要應(yīng)用在移動端。Neo4j是一個高性能的NOSQL圖形數(shù)據(jù)庫。

除此之外，還有一些國產(chǎn)數(shù)據(jù)庫，包括達(dá)夢、人大金倉、南大通用、神舟通用、瀚高、優(yōu)炫、華為Gauss DB、中興GoldenDB、巨衫SequoiaDB等。

6. 動態(tài)腳本語言

常見的動態(tài)腳本語言有ASP、PHP、JSP和javaScript，除此之外，還有Go和python等。

7.WEB前端框架

常見的Web前端框架有Angular、React、Vue。

8.開源建站系統(tǒng)

常見開源建站系統(tǒng)有DedeCMS織夢、Discuz!、帝國CMS、WordPress等，這些開源的建站系統(tǒng)會存在一些漏洞。