3.2web功能

http请求使用3种主要方式向应用程序传送参数：

1.通过url查询字符串

2.通过rest风格的url的文件路径

3.通过httpcookie

4.通过在请求中使用post方法

大量web应用程序漏洞在应用程序的设计，而不是实施阶段发生

可能遇到的最常见的web应用程序平台和语言：

1、java平台

近几年来，java平台企业版（原j2ee）事实上已经成为大型企业所使用的标准应用程序。它应用多层与负载平衡架构，非常适合模块化开发与代码重复利用。

enterprise java bean （ejb）是一个相对重量级的软件组件，它将一个特殊业务功能的逻辑组合到应用程序中。ejb旨在处理应用程序开发者必须解决的各种技术挑战，如交易的完整性。

java servlet 是应用程序服务器中的一个对象，它接受客户端的http请求并返回http响应。servlet可使用大量接口来促进应用程序开发。

php语言源于一个业余项目，（最初该缩写词代表个人主页（personal home page））。之后，该项目迅速发展成为一个功能强大，应用丰富的web应用程序开发框架。php常与免费技术整合。如所谓的lamp组合（包括操作系统linux，web服务器apache，数据库服务器mysql和web应用程序编程语言php）

结构化查询语言（sql）用于访问oracle，mssql服务器和mysql等关系数据库中的数据。

可扩展标记语言（xml）是一种机器可读格式的数据编码规范。与其他标记语言一样，xml格式将文档划分wie内容标记。

gui （graphical user interface）图形用户接口

web服务使用简单对象访问协议（soap）来交互数据。通常，soap使用http协议来传送消息，并使用xml格式表示数据。

dom，document object model，文档对象模型

ajax是一组编程技术，用于在客户端创建旨在模拟传统桌面应用程序的流畅交互和动态行为的用户界面

同源策略是浏览器实施的一种关键机制，主要用于防止不同来源的内容相互干扰。基本上，从一个网站收到的内容可以读取并修改从该站点收到的其他内容，但不得访问从其他站点收到的内容

在攻击web用于程序时，用到的厚客户端技术有：

java applet

active x 技术

flash 对象

silverlight 对象