全栈网络安全-渗透测试-2

web架构&常规化&站库分离&前后端分离

1. 常规化

原理 ：常规化是指源码和数据都部署在同一服务器上。
特点：

• 优势：搭建便捷，自定义程度高。

• 劣势 ：安全性较低，因为数据库和代码在同一服务器上，容易被攻击。
  适用场景：适合小型项目或个人开发，对安全性要求不高的场景。

2. 站库分离

原理 ：源码和数据库分别部署在不同的服务器上。
特点：

• 优势：提高了安全性，因为数据库被单独存放，攻击者即使获取了服务器权限，也难以直接访问数据库。

• 适用场景：适用于对安全性有一定要求的项目。

3. 前后端分离

原理 ：前端和后端在代码、开发环境和技术栈上完全独立。
特点：

• 前端：负责用户界面展示和交互逻辑，使用HTML、CSS、JavaScript等技术，常见框架有React、Vue.js、Angular等。

• 后端：负责处理业务逻辑、数据存储和认证授权，常见技术栈包括Java、Python、Node.js等。

• 通信方式 ：通过API接口（如RESTful API、GraphQL）进行数据传输。
  优势：

1. 开发效率提升：前后端可以并行开发，减少沟通成本。

2. 技术选型灵活：前后端可以独立选择最适合的技术栈。

3. 独立部署和扩展：前端可以通过CDN加速，后端可以通过负载均衡提升性能。

4. 用户体验提升 ：前端可以实现单页应用（SPA），减少页面刷新，提升交互体验。
   适用场景：适用于中大型项目，尤其是对开发效率、用户体验和系统扩展性要求较高的场景。

4. 宝塔+phpStudy

宝塔和phpStudy都是常用的服务器管理工具，但它们在功能和定位上有显著区别：

宝塔面板

文件管理：锁定目录，命令执行：无法执行

• 功能特点：

  • 全面的服务器管理：支持网站、数据库、FTP、SSL证书管理、备份恢复等功能。

  • 安全性高：提供防火墙、安全检测等多重保障，适合生产环境。

  • 界面友好：适合新手和资深开发者，操作简单。

  • 支持多系统：适用于Linux和Windows。

• 适用场景：适合需要全面管理服务器和网站的用户，尤其是生产环境。

phpStudy

命令执行：可执行，目录：没锁
文件管理

• 功能特点：

  • 轻量级集成环境：适合本地开发调试，安装简单，占用资源少。

  • 多版本支持：可切换不同PHP版本，方便开发。

  • 易用性强：界面简洁，适合初学者。

• 适用场景：主要用于本地开发和测试。

5. Docker容器

拿不到真正的权限，虚拟的，之后会说Docker逃逸

• 功能特点：

  • 虚拟化技术：通过容器化隔离应用，每个应用运行在独立的虚拟环境中。

  • 资源隔离：测试者攻击的是虚拟磁盘空间，不会影响宿主机。

  • 灵活性高：便于部署和迁移，适合开发、测试和生产环境。

• 适用场景：适用于需要快速部署、隔离和迁移应用的场景。

6. 建站分配站

• 功能特点：

  • 托管与申请：利用现有的域名模板快速搭建网站。

  • 安全测试：非目标资产，主要用于测试和学习。

• 适用场景：适合初学者或小型项目，快速搭建和测试。

总结

• 宝塔面板适合生产环境的服务器管理，功能全面且安全。

• phpStudy适合本地开发和测试，操作简单。

• Docker容器适合需要隔离和快速部署的场景。

• 建站分配站适合快速搭建和测试。

静态网站

静态网站是指那些几乎不依赖于服务器端处理的网站，其内容是预先生成好的HTML页面，这些页面存储在服务器上。当用户访问一个静态网站时，服务器直接将这些固定的（静态）文件发送给用户的浏览器，而不需要先进行任何额外的计算或数据处理。这类网站通常包括简单的文本、图片、超链接和视频等基本元素，并且交互性较低。

创建静态网站的优点包括：

1. 加载速度快：由于内容是预生成的，服务器只需快速响应请求并发送文件，无需执行复杂的后台逻辑。
2. 安全性高：没有动态组件意味着攻击面较小，比如SQL注入等常见的安全问题不会出现在静态网站中。
3. 成本效益好：托管静态网站通常比托管动态网站便宜，因为它们占用更少的服务器资源。
4. 易于部署和维护：不需要数据库或其他复杂的设置，使得部署过程简单快捷。

伪静态

想象一下你正在图书馆找一本书。传统的方式是，你需要告诉图书管理员你要借哪本书（比如通过书名、作者等信息），然后图书管理员去帮你找到这本书的具体位置并拿给你。这种方式类似于动态网页的工作方式：每次访问网站时，服务器根据请求实时生成页面内容。

伪静态的概念

现在，假设图书馆做了一些改进，他们给每本书都分配了一个固定的编号，并且在书架上明确标注了这些编号和对应的书名。这样，下次你来找书的时候，直接按照编号就能快速定位到那本书的位置，而不需要每次都去找图书管理员帮忙查找。

在这个比喻中，"伪静态"的作用就像是给每个资源（在这里是指网页）提供了一个固定且易于理解的地址（URL）。虽然这些页面实际上是通过后台程序动态生成的，但它们看起来就像是静态存在的，因为它们有一个固定的、用户友好的URL。

实际应用中的伪静态

原始动态网址：www.example.com/index.php?page=about

转换后的伪静态网址：www.example.com/about

尽管第二个网址看起来像是指向一个实际存在的静态文件（如HTML文件），但实际上它是由服务器接收到请求后，根据设定的规则将请求重写为第一个形式，再由后台处理并返回相应的页面内容。

简单总结

伪静态就是把原本带有复杂参数、不易记忆也不利于搜索引擎优化的动态网址（例如包含?page=这样的查询字符串），通过技术手段转换成简单、直观、容易被记住的静态形式的网址。这样做不仅让访客更容易访问和分享你的网页，也有助于提高网站在搜索引擎中的排名。换句话说，伪静态就像是给图书馆里的每一本书都贴上了清晰易懂的标签，方便大家直接找到自己需要的东西，而不是每次都得询问工作人员。