网络安全工程师必知的WEB知识

作为一名网络安全工程师，尤其是WEB渗透测试工程师，必须掌握一些WEB相关的基础知识，下面重点从WEB服务架构、浏览器请求过程、服务器操作系统、WEB应用服务器、数据库系统、动态网站脚本语言、WEB前端框架等。

B/S架构指浏览器/服务器架构，不需要安装客户端软件，通过浏览器访问服务器，业务扩展简单方便。

首先由客户端发起DNS域名解析，将访问的域名解析成IP地址。然后客户端向服务器发起TCP三次握手建立连接后（建立过程在此省略），发送HTTP请求。服务器收到请求后回复HTTP响应数据包。浏览器解析通过HTTP响应数据包传输过来的HTML代码，最后浏览器对页面进行渲染，这是浏览器请求的大致过程。

操作系统是管理计算机硬件与软件的程序。操作系统主要包括windows和Linux两种操作系统，Windows是闭源的，Linux是开源的。Windows服务器操作系统主要包括Windows Server系列；Linux服务器操作系统主要包括Redhat、SUSE、Ubuntu、Centos、Rocky linux，其中国产操作系统也是基于Linux的，比如中科方德、银河麒麟、统信UOS、中标麒麟、麒麟信安、普华Linux、中兴新支点、红旗Linux、华为欧拉等。

是一个基于J2EE的开放源代码的应用服务器。

除此之外，还有一些国产数据库，包括达梦、人大金仓、南大通用、神舟通用、瀚高、优炫、华为Gauss DB、中兴GoldenDB、巨衫SequoiaDB等。

常见的动态脚本语言有ASP、PHP、JSP和javaScript，除此之外，还有Go和python等。

常见的Web前端框架有Angular、React、Vue。

常见开源建站系统有DedeCMS织梦、Discuz！、帝国CMS、WordPress等，这些开源的建站系统会存在一些漏洞。

原文始发于微信公众号（兰花豆说网络安全）：网络安全工程师必知的WEB知识