一、Web的核心构成
1.Web的定义
Web(万维⽹)是⽤户通过浏览器访问、基于 HTTP/HTTPS 协议 建⽴连接,可展示⽹⻚、图⽚、视频等多媒体内容的全球性信息服务系统。http/https就像一根蜘蛛丝,连接着客户端与服务器,而web就是由这一根根蛛丝组成的网。
2.Web四大核心组成web
- 客户端(用户侧)-请求入口:用户使用电脑或手机,通过软件向服务器发送资源访问请求,然后等待服务器返回数据并渲染展示给⽤户。例如:在美团app下单
- 服务器(服务侧)-核心处理节点:存储⽹⻚、图⽚、视频等Web资源,接收并处理客户端的请求,返回对应资源。例如:下完单后,美团app在手机上显示的支付页面。
- ⽹络协议 - 通信规则(桥梁):客户端与服务器之间的「通信语⾔」,确保数据能正确传递、解析。例如:美团app下单需要联网(http/https)才能连接服务器。
- Web资源- 访问的核心内容:服务器存储的各类⽂件/数据,是Web的内容载体。例如:美团app上显示的各种商家等。
3.Web服务器的定义
Web服务器(也叫Web容器),是核⼼软件(或软硬件结合系统),核⼼能⼒:存储Web资源 + 基于HTTP/HTTPS协议接收客户端请求 + 返回对应资源;是连接⽤户(客户端)和Web内容的核⼼枢纽。 web服务器可理解成蛛网上的“各种昆虫”为蜘蛛(客户端)提供营养
4.完整Web访问流程
- ⽤户输⼊URL:⽤户在浏览器输⼊URL(⽹址),URL经DNS域名解析,转化为服务器的真实IP地址;可以理解成蜘蛛在蛛网上行走产生的震动碰到的昆虫尸体回弹到蜘蛛脚下,蜘蛛在将此信息在大脑转化为具体位置。
- 建⽴⽹络连接:客户端与服务器的对应IP地址,通过 TCP三次握⼿ 建⽴稳定的⽹络连接;类似于蜘蛛通过蛛丝与昆虫尸体建立稳定的食物供应。
- HTTP请求与响应:客户端基于建⽴的连接,发送HTTP/HTTPS请求报⽂;例如:在餐厅下单(请求)等。
- 服务器处理:服务器接收请求并解析,处理完成后返回对应的响应报⽂(包含Web资源);例如:服务员上菜(响应)等。
- 浏览器渲染:浏览器接收响应报⽂,解析并渲染内容,展示给⽤户。例如:服务员将菜放在桌上展现给顾客的过程。
二、Web服务器漏洞与安全防护(现阶段了解)
一、Apache服务器常见漏洞及安全防护
Apache解析漏洞(最经典、最常用,核心必掌握)
漏洞成因:
- Apache的多后缀解析规则缺陷:Apache解析⽂件时,会从右向左识别⽂件后缀,直到识别到⾃⼰能解析的合法后缀为⽌,忽略中间不认识的后缀。
实践结果
二、Nginx服务器常见漏洞及安全防护
Nginx解析漏洞(经典高危,与Apache解析漏洞原理不同)
漏洞成因
- 两种核⼼触发场景,均为配置/解析逻辑缺陷:
- Nginx默认配置下, xxx.php/xxx.jpg 这类URL,Nginx会将其当作 xxx.php 脚本⽂件交给后端PHP-FPM解析执⾏;
- Nginx在处理 .php 配置时,若存在空格(如 fastcgi_split_path_info ^(.+.php)(.)$ ),会导致解析异常,畸形后缀⽂件被解析为PHP。
实践结果
三、IS服务器常见漏洞及安全防护
IIS6.0解析漏洞(最经典,高频考点,必掌握)
漏洞成因
- IIS6.0 存在两⼤解析缺陷,均为原⽣解析逻辑问题,⽆需额外配置即可触发,是IIS最核⼼的⾼危漏洞:
- 分号截断解析:IIS6.0 解析⽂件时,会忽略⽂件名中「;」后⾯的所有内容。例如: test.asp;.jpg 会被解析为 test.asp 并执⾏ASP脚本;
- 特殊后缀解析:IIS6.0 默认对 .asa、.cer、.cdx 这3个后缀的⽂件,当作ASP脚本解析执⾏,这3个后缀常被攻击者利⽤绕过上传过滤。
实践结果
三、三大Web服务器通用安全防护原则
通用漏洞防御核心(所有服务器都要遵守)
- 版本及时升级:漏洞绝⼤多数出现在低版本中,官⽅发布新版本后⽴即升级,修复已知漏洞,这是最核⼼的防御⼿段;
- 最⼩权限原则:Web服务器的运⾏⽤户仅分配「最⼩必要权限」,禁⽌使⽤管理员/root权限运⾏,即使被攻击也能降低危害;
- 严格⽂件上传过滤:业务层采⽤「⽩名单」校验上传⽂件后缀,禁⽌所有脚本后缀(php/asp/jsp),上传⽬录单独存放并禁⽤执⾏权限;
- 隐藏版本信息:禁⽌泄露服务器版本、中间件版本,防⽌攻击者针对性利⽤版本漏洞;
- 启⽤HTTPS加密:配置SSL证书,强制使⽤HTTPS传输,防⽌数据被劫持、篡改
