第2章
Web應用程序的安全剖析

應用程序有兩種模式：C/S、B/S。C/S是客戶端/服務器端程序，也就是說這類程序一般獨立運行。而B/S就是瀏覽器端/服務器端應用程序，這類應用程序一般借助IE等瀏覽器來運行。Web應用程序一般是B/S模式。Web應用程序首先是“應用程序”，和用標準的程序語言（如C、C++等）編寫出來的程序沒有什么本質上的不同，然而Web應用程序又有自己獨特的地方，就是它是基于Web的，而不是采用傳統方法運行的。換句話說，它是典型的瀏覽器/服務器架構的產物。

一個Web應用程序是由完成特定任務的各種Web組件（Web Components）構成的并通過Web將服務展示給外界。在實際應用中，Web應用程序是由多個Servlet、JSP頁面、HTML文件以及圖像文件等組成。所有這些組件相互協調為用戶提供一組完整的服務。這些技術大都簡單易懂，掌握其相關特性對于向Web應用程序發動有效攻擊極其重要。