这是第一块 web前端安全。那么第二块就是说如果你的 web通信协议没有选择更安全的,像https之类的去做加密处理,那么这个时候你就会存在第二个安全问题,也就是你的web通信安全的问题。这个我快速写一下,那么刚才这里其实是web前端的这个安全问题。好,那么到服务器这里面来的话,它的这个安全问题,其实总结来讲就是属于web后端的问题,是吧?当然它的web后端可以再区分出来,比方说它的中间件的安全问题,如果说它没有做好这个版本的更新,可能有很多像stru这个apache 漏洞。近几年有大量高频的这种rce是吧?
远程代码执行的这种漏洞出来,就是针对 web后端中间件的,那如果是针对这个漏洞的话,那大家都知道那非常经典的话,比方说像什么oracle注入之类的这样的一些漏洞,那比方说,针对我们的这个编程语言是吧?包括我们的这种技术框架,那么这里面其实还有很多,包括PHP,那么它可能还有什么上传包含是吧?因为你的这个过滤不严谨等等,有大量的一些漏洞等着我们。所以这里面其实都是属于这个,web后端,web服务端的这么一个安全问题,或者web数据端的这么一个安全问题。
Ok,就是整个我们学习 web安全,我们去研究的一个话题了,那当然的话我们如果说想快速一点的去理解这一块的话,通常我们都知道我们要去学习一个东西叫做漏洞培训。他10这套体系包括各种各样的一些业务逻辑的漏洞,那么就可以把整个web应用安全的这些技术整理的七七八八了,ok那么这是一块这是一块,我们把它这样画出来。