Web 安全基础入门

一、网站部署模式及安全影响

（一）部署模式

1. 子域名模式：同一域名下用子域名部署不同网站，如www.abc.com（主站）、php.abc.com（功能站） 、oa.abc.com（管理系统）。

2. 端口模式：通过同一域名不同端口区分网站，如www.abc.com:80（主站）、www.abc.com:8080（其他站）。

3. 目录模式：利用同一域名下不同目录部署，如www.abc.com/（主目录站）、www.abc.com/wordpress（博客站）。

（二）安全影响

• 不同部署模式下，漏洞暴露面和攻击入口存在差异，需针对性进行安全测试。

二、Web 程序源码类型

1. 开源可见：源码公开，利于二次开发，但也可能暴露安全风险点。

2. 开源不可见：源码加密，保护商业逻辑，但逆向分析难度大。

3. 商业：需付费获取源码授权，有技术支持保障，可能存在授权相关安全问题。

4. 自写：企业自主开发，高度定制，但开发过程中的安全漏洞需严格把控。

三、Web 路由访问

1. 常规：URL 与文件目录直接对应，结构简单，攻击面清晰。

2. 路由访问：URL 与文件目录解耦，依配置规则映射，增加安全测试复杂度。

四、Web 搭建架构

（一）常规搭建

源码与数据存于同一服务器，常规安全测试方法适用。

（二）站库分离

源码和数据分存不同服务器（如 OSS、云数据库），需连接数据存储端才能影响数据，增加数据安全性。

（三）前后端分离

1. 原理：前端用 JS 框架，通过 API 传输数据。

2. 影响：前端页面漏洞减少；后端管理可能不在同域名；获取前端权限不一定影响后端。

五、集成环境工具

1. 宝塔：自动配置安全设置，限制木马 Shell 执行，仅开放网站目录权限。

2. phpstudy：默认关闭安全设置，攻击者获得权限后影响更大。

六、虚拟化与建站技术

1. docker 容器：利用虚拟化技术提供独立磁盘空间，攻击者仅能影响虚拟空间。

2. 建站分配站：基于他人域名模板建站，安全测试时需注意区分目标资产。

七、特殊 Web 类型

1. 静态 web：无数据传输，几乎无漏洞。

2. 伪静态：将动态页面伪装成静态，混淆攻击检测。

八、安全防护与服务技术

（一）安全防护

1. waf（Web 应用防火墙）：拦截常规 Web 安全测试手段，保护服务器。

（二）服务技术

1. cdn（内容分发服务）：隐藏真实源 IP，导致测试目标错误，影响攻击定位。

2. oss（云存储服务）：提升访问速度和资源安全，隐藏真实源 IP，影响攻击路径分析。

九、第三方存储应用

1. 使用原因：减少静态文件对带宽、存储空间占用，提升加载速度，修复上传安全问题。

2. 安全隐患：存在 Accesskey 泄露风险，文件解析机制不同带来潜在安全问题。

十、反向代理与负载均衡

1. 反向代理：为服务端转发数据，访问目标为代理，非真实服务器，隐藏真实应用服务器。

2. 负载均衡：将任务分摊到多个服务器，测试时需应对多个目标。

以上梳理提炼了 Web 网络安全入门核心内容。若你觉得某些部分还需展开，或想补充其他知识点，随时和我说。