第2章
Web应用程序的安全剖析

应用程序有两种模式：C/S、B/S。C/S是客户端/服务器端程序，也就是说这类程序一般独立运行。而B/S就是浏览器端/服务器端应用程序，这类应用程序一般借助IE等浏览器来运行。Web应用程序一般是B/S模式。Web应用程序首先是“应用程序”，和用标准的程序语言（如C、C++等）编写出来的程序没有什么本质上的不同，然而Web应用程序又有自己独特的地方，就是它是基于Web的，而不是采用传统方法运行的。换句话说，它是典型的浏览器/服务器架构的产物。

一个Web应用程序是由完成特定任务的各种Web组件（Web Components）构成的并通过Web将服务展示给外界。在实际应用中，Web应用程序是由多个Servlet、JSP页面、HTML文件以及图像文件等组成。所有这些组件相互协调为用户提供一组完整的服务。这些技术大都简单易懂，掌握其相关特性对于向Web应用程序发动有效攻击极其重要。