X

渗透从web安全入手，在这个页面中将会展示有关web（网站）的应用语言、框架结构、存在漏洞等基础知识,因为内容以渗透测试为主题，开发相关具体内容与详细信息另查它文。 万丈高楼平地起，不论web漏洞更新的速度再快，从基层、框架入手总是清晰的。

Web程序

一、Web结构

前端--后端--数据库--服务器程序

二、Web流程

前端显示页面、执行js脚本，然后用url请求到后端进行数据处理，牵扯到数据又要进行数据库的执行操作，而后端文件、数据库都存在服务器中

三、Web语言

1.前端语言：

• html:主要负责网页架构设计

• css:主要负责网页样式处理

• JavaScript:负责脚本执行、时间处理

2.后端语言

• php

• Java

• python

• go

• C/C++

• lua

• node.js

• Ruby

四、代码库

• JQuery

• B00tstrap

• elementui

代码库的作用就是进行代码库的封装，让代码更方便的进行调用

五、框架

• .vue

• .react

• .angular

框架多如牛马，但是都是基于最本质的三种语言编写HTML、CSS、JavaScript 进行XSS分析时都是从框架入手，如果纯粹的从JavaScript入手就很费时间

六、 存在漏洞

1.前端

信息泄露、XSS、CSRF、点击劫持、访问控制、web缓存漏洞、跨域漏洞、请求走私

2.后端

信息泄露、XSS、CSRF、SSRF、反序列化、SQL注入、命令行注入、服务端模板注入、跨域漏洞、访问控制、逻辑漏洞

七、数据库

1.关系型数据库

• Mysql

• Sqlsever

• Access

• Postgresql 2.非关系型数据库

• Mongodb

• Couchdb

• Neo4j

• Redis

八、服务器程序

• Apache

• Nginx

• IIS

• Tengine

• Tomcat

• Weblogic

潜在漏洞：信息泄露、文件上传、文件解析、目录遍历、访问控制

总结

有位大佬说，安全的尽头就是开发，开发的尽头就是安全。 只有真正清楚其内部结构，使用细节，将规则吃透，才能反过来利用规则、制定规则