知识散点（三）

网站基本架构：CMS，thinkphp，wordpress
google hacking grammmer
中间件解析漏洞 简单的解释，编辑器漏洞//这个是个啥？
web组件漏洞：struts2//和上面的中间件解析漏洞以及编辑器漏洞的区别
安全论坛（安全牛，绿盟，安全内参，先知社区）
风险评估：在风险事件发生之前或之后（但还没有结束），该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。
安全防护：安全防护，即安防，所谓安全，就是没有危险、不受侵害、不出事故；所谓防护，就是防备、戒备，而防备是指作好准备以应付攻击或避免受害，戒备是指防备和保护。 综合上述解释，是否可以给安全防护下如下定义：做好准备和保护，以应付攻击或者避免受害，从而使被保护对象处于没有危险、不受侵害、不出现事故的安全状态。显而易见，安全是目的，防护是手段，通过防范的手段达到或实现安全的目的，就是安全防护的基本内涵。
应急响应：
安全加固：
安全加固服务是指是根据专业安全评估结果，制定相应的系统加固方案，针对不同目标系统，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强。其主要目的是：
·消除与降低安全隐患
·周期性的评估和加固工作相结合，尽可能避免安全风险的发生
大数据安全
物联网安全

常见攻击手段：
VPN劫持，MAC泛洪攻击，时钟攻击

常见术语：
PE文件（可移植的执行文件），注册回调，HOOK技术（在系统调用函数之前利用钩子修改函数的行为），注入技术（用来躲避检测，把恶意程序通过某种方法注入到正常程序当中并且执行），供应链渗透，SAM哈希暴力（sam就是windows系统的用户密码配置文件，它的内容即是hash计算出来的。也就是说这就是暴力破解windows的密码），彩虹表（彩虹表是一个用于加密散列函数逆运算的预先计算好的表, 为破解密码的散列值（或称哈希值、微缩图、摘要、指纹、哈希密文）而准备），数据取证，可信计算
密码散列函数（Cryptographic hash function），又译为加密散列函数，是散列函数的一种。它被认为是一种单向函数，也就是说极其难以由散列函数输出的结果，回推输入的数据是什么。这样的单向函数被称为“现代密码学的驮马”。这种散列函数的输入数据，通常被称为消息（message），而它的输出结果，经常被称为消息摘要（message digest）或摘要（digest）。
差异备份：数据备份主要分位完全备份、增量备份和差异备份。其中差异备份是指备份自上一次完全备份之后有变化的数据，在差异备份过程中，只备份有标记的那些选中的文件和文件夹。它不清除标记，即备份后不标记为已备份文件，不清除存档属性。

重点：注入技术，编辑器，google hacking grammar

完整的网站包括：
服务器 －－运行网站的机器
防火墙 －－提供安全保障
操作系统 －－运行网站的平台，包括运行环境(apache，iis 等等)
数据库 －－保存网络数据
前台文件/系统 －－提供网民所看到和使用的页面
后台文件/系统 －－网站管理员管理网站内容的页面
宽带网络 －－…无法解释

容管理系统（通常缩写为CMS）是帮助用户在网站上创建，管理和修改内容而无需专业技术知识的软件。

在更简单的语言中，内容管理系统是一种工具，可以帮助您构建网站，而无需从头开始编写所有代码（甚至可以知道如何编写代码）。
意思也就是：一套成熟，简单，方便的web管理系统。

thinkphp与CMS的关系
thinkphp是一个框架，可以用框架来写CMS
CMS是一个成熟的系统，可以使用thinkphp来写

BS模式（Browser Server）
简称：浏览器服务器
意思就是客户端可以通过浏览器就可以访问服务端
只要你的电脑上装有浏览器就可以访问
不过在美工方面BS不如CS，速度也不如CS快。

如京东，百度网页版本的，只要有浏览器就可以访问
只有当服务器升级你才需要升级。

CS模式（Client Server）
简称：客户端服务器
客户端想要访问服务器时，必须在本机上安装客户端软件。
如果软件升级那么，都需要升级。
比如QQ10.0版本，服务器升级了11.0，那么全世界每一个使用QQ的客户端都要升级

web服务器只是提供静态网页解析（如apache），或者提供跳转的这么一种服务。
而web中间件或者叫做应用服务器（其包含web容器）可以解析动态语言，比如tomcat可以解析jsp（因为tomcat含有jsp容器），当然它也可以解析静态资源，因此它既是web中间件也是web服务器。不过tomcat解析静态资源的速度不如apache，因此常常两者结合使用。中间件用于提供系统软件和应用软件之间的连接，以便于软件各部件之间的沟通，其可以为一种或多种应用程序提供容器。
以web服务器举例。B/S结构需要有web服务器的解析才能运行，这时，web服务器就是中间件。
*.asp只能在windows服务IIS上运行，IIS就是这个B/S结构的中间件。
还有比如小公司，入门级别的服务器，tomcat,jboss（通常与小数据库mysql一起用，Linux上的经典架构LAMP，linux+apache+mysql+php，apache就是中间件，有时也叫Web容器）， 大型程序服务器（有bean公司的weblogic、IBM的websphere.(一般与Oracle一起)。中间件叫做中间件服务器，也叫作应用服务器。在web中通常把web服务器叫做中间件。

web容器
web容器用于给处于其中的应用程序组件（JSP，SERVLET）提供一个环境，是中间件的一个组成部分，它实现了对动态语言的解析。比如tomcat可以解析jsp，是因为其内部有一个jsp容器。

其中的意思也就是web服务器其实也就是只可以解析静态资源和跳转，动态资源可以交给中间件（偶尔静态资源也可以），当然为什么中间件可以解析动态资源，因为其中有一个web容器，中间件也就是链接系统和软件之中的桥梁

所属的类别
web服务器：IIS、Apache、nginx、tomcat、weblogic、websphere等。
web中间件：apache tomcat、BEA WebLogic、IBM WebSphere等。
web容器：JSP容器、SERVLET容器、ASP容器等。

注意：web中间件与web服务器是有重叠的，原因在于tomcat等web中间件也具备web服务器的功能。

Web服务器
广义的web服务器（Web Server）：提供web服务的软件或主机，即Web服务器软件或装有Web服务器软件的计算机。
例如：IIS、apache、nginx等。Web服务器可以处理 HTTP 协议，响应针对静态页面或图片的请求，进行页面跳转，或者把动态请求委托其它程序（它的扩展、某种语言的解释引擎(php)、Web容器）。

所以，我们可以把 IIS、Apache、Nginx、Tomcat等都称为Web服务器，因为他们都提供了web服务。

中间件
中间件（Middleware）是提供系统软件和应用软件之间连接的软件，以便于软件各部件之间的沟通。中间件处在操作系统和更高一级应用程序之间。他充当的功能是：将应用程序运行环境与操作系统隔离，从而实现应用程序开发者不必为更多系统问题忧虑，而直接关注该应用程序在解决问题上的能力 。
容器就是中间件的一种。

而Web中间件就是提供web应用软件和系统软件连接的软件的一个总称。

容器
容器：容器是中间件的一种，作为操作系统和应用程序之间的桥梁，给处于其中的应用程序组件提供一个环境，使应用程序直接跟容器中的环境变量交互，而不必关注其它系统问题。
例如：tomcat（servlet容器），Jboss(EJB容器)。这些容器提供的接口严格遵守J2EE规范中的web application 标准。

web容器：我们把遵守J2EE规范标准的web服务器就叫做J2EE中的web容器。处理 web服务的容器，例如tomcat（servlet容器），IIS(asp容器)。
web容器用于给处于其中的应用程序组件（ASP、JSP）提供一个环境，是中间件的一个组成部分，它实现了对动态语言的解析。比如tomcat可以解析jsp，是因为其内部有一个servlet容器。

经典MVC模式中，M是指业务模型，V是指用户界面，C则是控制器，使用MVC的目的是将M和V的实现代码分离，从而使同一个程序可以使用不同的表现形式。其中，View的定义比较清晰，就是用户界面。