web安全综述

标题

1，web体系系统结构（由低到高的顺序）

 ①操作系统：Linux/Windows
 ②存储：web应用保存大量信息，包括平台信息、用户信息、服务器数据等
 ③web容器：为上层开发语言提供运行环境（中间件有相同的功能）

中间件：联系操作系统和web应用，作为中转部分用来进行沟通联系，向web应用和操作系统执行连接。
apache/nginx：既可以起到web容器的作用，为编程语言提供环境的同时也是中间件，沟通web应用和操作系统
IIS
④web服务端语言：PHP/JSP/.NET
⑤web开发框架：Django/Rail/ThinkPHP(地基＋称重结构的框架)
⑥web应用：BBS、CMS内容管理系统、BLOG博客。（就好比买一套毛坯房，可以进行软装修，修改细节，总体的大框架结构无法修改。在搭建网站的时候，有很多需要自己定义的内容需要用到框架）
⑦web前端框架：前端编程语言。jQuery/Bootstrap/HTML5框架
⑧第三方内容：全部搭建好以后，网站扩展内容。比如广告统计、mockup等
图示如下：

2，web体系架构分析

 客户端：web浏览器发起http请求，服务器响应。进过传输层传输到web服务器，中间件（web）容器解析请求，将请求投递给web应用程序，web应用程序根据请求内容进行解析。web应用程序和数据库使用连接器（ADO/OBDC/JDBC）连接。
 web应用程序开发语言：Perl/C++/JSP/ASP/PIIP

3,web应用发展历程（简述）

由早期的静态页面发展为现在的动态页面

4，OWASP TOP10（2017版）

OWASP：开放web软件安全项目
A1:2017-注入
A2:2017-失效的身份认证
A3:2017-敏感信息泄露
A4:2017-XML外部实体（XXE)
A5:2017-失效的访问控制
A6:2017-安全配置错误
A7:2017-跨站脚本（XXS）
A8:2017-不安全的反序列化
A9:2017-使用含有已知漏洞的组件
A10:2017-不足的日志记录和监控

2013年版OWASP TOP10与2017年版OWASP TOP10的差别：