几种常见的Web服务器的介绍
小鸟云常用的Web服务器有IIS、Apache、Tomcat、Jboss、Resin、Weblogic、WebSpher
IIS服务是Windows产品自带的一种免费的Web服务器,安装配置简单,主要解析的是ASP程序代码,对于小型的、利用ASP编程的项目,可以采用其作为Web服务器。一般可以跟Apache整合起来使用。这种服务在配置过程中需要注意权限的问题。
Apache
世界排名第一、免费开源的Web服务器软件,可以安装运行在绝大多数的计算机平台上,支持大多数语言开发的B/S结构软件。一般情况下Apache与其他的Web服务器整合使用,功能非常强大,尤其在静态页面处理速度上表现优异。
Tomcat
Tomcat是Apache下的一个核心子项目,是目前使用量最大的免费的JAVA服务器。主要处理的是JSP页面和Servlet文件。Tomcat常常与Apache整合起来使用,Apache处理静态页面,比如Html页面,而Tomcat负责编译处理JSP页面与Servlet。在静态页面处理能力上,Tomcat不如Apache。由于Tomcat是开源免费、功能强大易用的,很多JAVA的初学者都喜欢用它。当然,也有不少中小企业用其与Apache整合做Web服务器。熟练掌握Tomcat的使用是非常必要的。可以这么说,熟练安装配置Tomcat是软件测试工程师的必备技能。
Jboss
Jboss是RedHat的产品(RedHat于2006年收购了Jboss)。与Tomcat相比,Jboss要专业些。JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3.0的规范,本身不支持JSP/Servlet,需要与Tomcat集成才行。一般我们下载的都是这两个服务器的集成版。与Tomcat一样,Jboss也是开源免费的。Jboss在性能上的表现相对于单个Tomcat要好些。当然并非是绝对的,因为Tomcat做成集群,威力不容忽视。Jboss没有图形界面,也不需要安装,下载后解压,配置好环境变量后即可使用。
Resin
Resin是CAUCHO公司的产品,它也是一个常用的、支持JSP/Servlet的引擎,速度非常快,不仅在表现在动态内容的处理,还包括静态页面的处理上,Tomcat、Jboss在静态页面上的处理能力明显不足,一般都需要跟Apache进行整合使用。而Resin可以单独使用,当然Resin也可以与Apache,IIS整合使用。
Weblogic
WebLogic是BEA的产品,用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。与前面的几种小型Web服务器相比,更具专业性,但安装配置也更为复杂。WebLogic是一个商业的软件,使用是收费的,费用还挺贵的。
WebSphere
WebSphere是IBM的产品,是因特网的基础架构软件,也就是我们通常所说的中间件。它使企业能够开发、部署和集成新一代电子商务应用(如B2B的电子交易),并且支持从简单的Web发布到企业级事务处理的商务应用。比WebLogic更专业,当然价格也更贵。一般部署在IBM专业的服务器上。针对web服务器的常见八种攻击方式
1、sql注入漏洞的入侵
这种是asp+access的网站入侵方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把asp木马上传上去,获得一个网站的webshell。
2、asp上传漏洞的利用
这种技术方式是利用一些网站的asp上传功能来上传asp木马的一种入侵方式,不少网站都限制了上传文件的类型,一般来说asp为后缀的文件都不允许上传,但是这种限制是可以被黑客突破的,黑客可以采取cookie欺骗的方式来上传asp木马,获得网站的webshell权限。
3、后台数据库备份方式获得webshell
这个主要是利用网站后台对access数据库进行数据库备份和恢复的功能,备份数据库路径等变量没有过滤导致可以把任何文件的后缀改成asp,那么利用网站上传的功能上传一个文件名改成jpg或者gif后缀的asp木马,然后用这个恢复库备份和恢复的功能把这个木马恢复成asp文件,从而达到能够获取网站webshell控制权限的目的。
4、 网站旁注入侵
这种技术是通过ip绑定域名查询的功能查出服务器上有多少网站,然后通过一些薄弱的网站实施入侵,拿到权限之后转而控制服务器的其它网站。
5、sa注入点利用的入侵技术
这种是asp+mssql网站的入侵方式,找到有sa权限的sql注入点,然后用sql数据库的xp_cmdshell的存储扩展来运行系统命令建立系统级别的帐号,然后通过3389登录进去,或者在一台肉鸡上用nc开设一个监听端口,然后用vbs一句话木马下载一个nc到服务器里面,接着运行nc的反向连接命令,让服务器反向连接到远程肉鸡上,这样远程肉鸡就有了一个远程的系统管理员级别的控制权限。
6、sa弱密码的入侵技术
这种方式是用扫描器探测sql的帐号和密码信息的方式拿到sa的密码,然后用sqlexec之类的工具通过1433端口连接到远程服务器上,然后开设系统帐号,通过3389登录。然后这种入侵方式还可以配合webshell来使用,一般的asp+mssql网站通常会把mssql的连接密码写到一个配置文件当中,这个可以用webshell来读取配置文件里面的sa密码,然后可以上传一个sql木马的方式来获取系统的控制权限。
7、提交一句话木马的入侵方式
这种技术方式是对一些数据库地址被改成asp文件的网站来实施入侵的。黑客通过网站的留言版,论坛系统等功能提交一句话木马到数据库里面,然后在木马客户端里面输入这个网站的数据库地址并提交,就可以把一个asp木马写入到网站里面,获取网站的webshell权限。
8、 论坛漏洞利用入侵方式
这种技术是利用一些论坛存在的安全漏洞来上传asp木马获得webshell权限,最典型的就是,动网6.0版本,7.0版本都存在安全漏洞,拿7.0版本来说,注册一个正常的用户,然后用抓包工具抓取用户提交一个asp文件的cookie,然后用明小子之类的软件采取cookie欺骗的上传方式就可以上传一个asp木马,获得网站的webshell。
应用服务器的分类
通常,根据确定文档内容的时间,所有文档可以划分为如下三类。 活动:一个活动文档不完全由服务器一端说明,而是包括一个计算并显示值的程序。当浏览器访问活动文档时,服务器返回一个浏览器可以本地执行的程序。当该程序运行时,它可以和用户交互执行并不停地改变显示。这样,活动文档的内容是不固定的-只要用户让程序保持运行,它总是在不停地变化。静态文档的主要优点在于它的简单、可靠性和性能。由于静态文档是直接指定格式。它可以由不懂编程的人创建。更重要的是,在已经创建和测试之后,静态文档永远是正确的。最后,浏览器可以快速存取文档,同时通过把文档放在本地盘上的缓冲区内以加快以后对这些文档的访问速度。 静态文档的主要缺点是不灵活-当信息变化时文档必须重新设计。另外,改变是很耗费时间的,因为它需要人工修改文件。因此,静态文档不适合频繁变化的报告信息。动态文档的主要优点是它报告当前信息的能力。例如,一个动态文档可以用来报告股市行情、天气预报或音乐会售票情况等内容。当浏览器申请信息的时候,服务器运行一个应用程序,访问所需要的信息,并创建一个文档,服务器于是将该文档返回给浏览器。动态文档把任务放在服务器一端,浏览器采用和静态文档同样的方法访问动态文档。实际上,从浏览器的角度来看。动态文档和静态文档是无区别的。由于动态文档和静态文档都采用H T M L 编写,浏览器不知道服务器是从一个磁盘文件还是计算机程序中取得文档。动态文档的主要缺点是增加成本和不能显示变化的信息。和静态文档类似,动态文档在浏览器取得文档后不会再改变。因此在信息发送给浏览器之后,文档就开始过时。例如一个报告股市信息的动态文档,由于股市信息变化迅速,当用户访问时文档很快就过时。动态文档的创建和访问成本比静态文档昂贵。创建动态文档的代价较高,因为动态文档的创建者必须懂得如何写程序。另外,程序必须仔细编写和广泛测试,以保证输出的合法性。验证这样一个程序的正确性是很困难的,因为输入可以包含不同来源的多种数据。动态文档除了创建成本高,所需的硬件成本也较高,因为服务器端需要更强大的计算机。最后取出动态文档需要的时间稍多些,因为服务器需要额外的时间去运行程序创建文档。尽管在申请到达时动态文档才创建,但信息可能很快过时,活动文档相对于动态文档的主要优点在于它持续更改信息的能力。例如,只有活动文档能够快速改变显示以显示动画。更重要的是,活动文档能够直接访问信息源并连续更改显示。例如,一个显示股市行情的活动文档可以连续读取股市信息,并且不需要用户干预而自动修改显示。活动文档的主要缺点是创建和运行这种文档所需的额外费用,同时缺少安全性。首先,活动文档的显示需要更复杂的浏览器软件和一个强有力的计算机运行浏览器。另外,写正确的活动文档比写其他画面需要更多的编程技巧,所得到的结果文档更难于测试。而且,由于活动文档必须运行在客户端而不是服务器端,程序必须解决在不同客户上的兼容性问题,最后,活动文档存在着潜在的安全性问题,因为文档既输入信息又输出信息。
怎样区分Tomcat与Web服务器?怎样区
OpenSSL是业界最为快速和安全的开源传输组件,可借助操作系统和硬件的特性实现高效的安全承载。JBossWeb集成了OpenSSL,可提供高效的安全传输服务,使得安全机制更上台阶。研究表明,JBossWeb中的SSL性能比单纯的Tomcat快四倍。
在市场占有率和服务满意度上取得了巨大的成功,丝毫不逊色于其它的非开源竞争对手,如WebSphere、WebLogic、ApplicationServer。JBossWeb的诸多优越性能,正是其广为流行的原因。
在Web2。0的浪潮中,各种页面技术和框架不断涌现,为服务器端的基础架构提出了更高的稳定性和可扩展性的要求。近年来,作为开源中间件的全球领导者,JBoss在J2EE应用服务器领域已成为发展最为迅速的应用服务器。
遗憾的是,许多商业应用服务器并没有遵守此规则。对于开发者来说,如果是为了寻找利用Servlet、JSP、JNDI和JMX技术来生成JavaWeb应用的话,选择Tomcat是一个优秀的解决方案;但是为了寻找支持其他的J2EEAPI,那么寻找一个应用服务器或者把Tomcat作为应用服务器的辅助,将是一个不错的解决方案;第三种方式是找到独立的J2EEAPI实现,然后把它们跟Tomcat结合起来使用。
单纯的Tomcat性能有限,在很多地方表现有欠缺,如活动连接支持、静态内容、大文件和HTTPS等。除了性能问题,Tomcat的另一大缺点是它是一个受限的集成平台,仅能运行Java应用程序。企业在使用时Tomcat,往往还需同时部署ApacheWebServer以与之整合。
Tomcat服务器是一个免费的开放源代码的Web应用服务器。因为Tomcat技术先进、性能稳定且免费,所以深受Java爱好者的喜爱并得到了部分软件开发商的认可,成为目前比较流行的Web应用服务器。
集多功能于一身,性能卓越作为Web应用服务器中的明星产品,JBossWeb服务器集多种功能于一身。其关键功能包括:完全支持JavaEE、高度的扩展性、快速的静态内容处理、群集、OpenSSL、URL重写和综合性。
部署于高性能的操作系统,可利用JBossWeb对纯Java和NativeI/O两种模式的支持,使得应用在开发时可随时跨平台敏捷迁移,而部署于高性能的操作系统相关的Native环境。由于JBossWeb较好地解决了静态资源的访问性能问题,可在解决方案中把它直接作为强大的LVS的分发对象,和RHEL负载均衡系统结合,形成理论上无限线性扩展的负载均衡场景。
混合技术模型从最新的操作系统技术里提供了最好的线程和事件处理。结果,JBossWeb达到了可扩展性,性能参数匹配甚至超越了本地ApacheHTTP服务器或者IIS。譬如JBossWeb能够提供数据库连接池服务,不仅支持JSP等Java技术,同时还支持其他Web技术的集成,譬如PHP、。
基于Tomcat内核,青胜于蓝Tomcat服务器是一个免费的开放源代码的Web应用服务器,技术先进、性能稳定,而且免费,因而深受Java爱好者的喜爱并得到了部分软件开发商的认可。其运行时占用的系统资源小,扩展性好,且支持负载平衡与邮件服务等开发应用系统常用的功能。
一、Tomcat与应用服务器到目前为止,Tomcat一直被认为是Servlet/JSPAPI的执行器,也就所谓的Servlet容器。然而,Tomcat并不仅仅如此,它还提供了JNDI和JMXAPI的实现机制。
JBossWeb服务器具有原生特性和强大的可扩展性,可支持多种并非基于Java的服务器内容处理技术,可同时运行JSP,Servlet,Microsoft。NET,PHP及CGI,为其提供一个单一的、高性能的企业级部署平台。
虽然整合会带来相关的问题,但是这种方式是最为有效的。。二、Tomcat与Web服务器Tomcat是提供一个支持Servlet和JSP运行的容器。Servlet和JSP能根据实时需要,产生动态网页内容。
在Web2。0的浪潮中,各种页面技术和框架不断涌现,为服务器端的基础架构提出了更高的稳定性和可扩展性的要求。近年来,作为开源中间件的全球领导者,JBoss在J2EE应用服务器领域已成为发展最为迅速的应用服务器。在市场占有率和服务满意度上取得了巨大的成功,丝毫不逊色于其它的非开源竞争对手,如WebSphere、WebLogic、ApplicationServer。JBossWeb的诸多优越性能,正是其广为流行的原因。基于Tomcat内核,青胜于蓝Tomcat服务器是一个免费的开放源代码的Web应用服务器,技术先进、性能稳定,而且免费,因而深受Java爱好者的喜爱并得到了...
考试大提示:红帽所力行的“专业化开源技术”则完美解决了这一问题。来自开源社区的JBossWeb,在红帽专业化开源的锤炼下,在性能、扩展性、稳定性、安全性等方面,已成为一个达到企业级,甚至电信级标准的优秀产品。
而对于Web服务器来说,Apache仅仅支持静态网页,对于支持动态网页就会显得无能为力;Tomcat则既能为动态网页服务,同时也能为静态网页提供支持。尽管它没有通常的Web服务器快、功能也不如Web服务器丰富,但是Tomcat逐渐为支持静态内容不断扩充。
尽管如此,Tomcat仍然还不能算是应用服务器,因为它不提供大多数J2EEAPI的支持。很有意思的是,目前许多的应用服务器通常把Tomcat作为它们Servlet和JSPAPI的容器。由于Tomcat允许开发者只需通过加入一行致谢,就可以把Tomcat嵌入到它们的应用中。
大多数的Web服务器都是用底层语言编写如C,利用了相应平台的特征,因此用纯Java编写的Tomcat执行速度不可能与它们相提并论。一般来说,大的站点都是将Tomcat与Apache的结合,Apache负责接受所有来自客户端的HTTP请求,然后将Servlets和JSP的请求转发给Tomcat来处理。
与Tomcat相比,JBossWeb在静态资源访问方面性能优越。JBossWeb支持两种组件模式——纯Java和NativeI/O。在Native组件的支持下,动态运行不会受到任何影响,而静态资源的访问利用了操作系统本身提供的0拷贝传送,CPU消耗降低,响应时间缩短,吞吐率大大提高,混合的连接模式支持最大达到10000个并发客户端的同时访问,与ApacheWeb服务器相当。
URL重写功能可缩短URL,隐藏实际路径提高安全性,易于用户记忆和键入,及被搜索引擎收录。Tomcat不具备URL重写功能,JBossWeb则可提供一个灵活的URLrewriting操作引擎,支持无限个规则数和规则条件。
此配置较为繁琐,且不能保证性能的优越性。JBoss在Tomcat的基础上,对其进行本地化,将Tomcat以内嵌的方式集成到JBoss中。JBossWeb通过使用APR和Tomcat本地技术的混合模型来解决Tomcat的诸多不足。
红帽不仅有专职的技术团队投入JBossWeb的开发,而且具备专门的QA团队为产品作质量保证。完善的集成测试和兼容性测试保证了JBossWeb自身的稳定性,并保证了它的后向兼容和其他JBoss产品协作良好的互操作性。
作为一个小型的轻量级应用服务器,Tomcat在中小型系统和并发访问用户不是很多的场合下被普遍使用,成为目前比较流行的Web应用服务器。而JBossWeb采用业界最优的开源JavaWeb引擎,将Java社区中下载量最大,用户数最多,标准支持最完备的Tomcat内核作为其Servlet容器引擎,并加以审核和调优。
Tomcat完成处理后,将响应传回给Apache,最后Apache将响应返回给客户端。
URL可被重写以支持遗留的URL错误处理,或应对服务器不时产生的其他问题。JBossWeb既可单独运行,也可无缝嵌入JBoss应用服务器,成为JBoss中间件平台的一部分。考试大提示:不仅后台服务调用的性能将得以提升,也可利用以下JBoss平台的特性提升Web应用功能:基于JGroups的多种集群方案的支持基于Arjuna技术的JTA和JTS的事务处理支持优化的线程池和连接池的支持基于JMX控制台的基本管理支持和JBossOn的高级管理维护支持基于JBossAOP技术的面向方面架构的支持Hibernate服务组件的支持专业团队支持业界大多数开源产品在技术方面富于创新性,但在可持续性,产品生命周期规划,以及质量保证方面缺乏有效保障,为软件集成商和最终用户所诟病。
NET两大阵营。标准化是减小技术依赖风险,保护投资最好的方式。JBossWeb率先支持全系列JEEWeb标准,从根本上保证了应用“一次开发,到处运行”的特点,使应用成品能方便地在JBossWeb和其他JavaWeb服务器之间轻易迁移。
什么是ApplicationServer?
ApplicationServer即应用服务器。应用服务器是指通过各种协议把商业逻辑曝露给客户端的程序。它提供了访问商业逻辑的途径以供客户端应用程序使用。应用服务器使用此商业逻辑就像调用对象的一个方法一样。简单的说能实现动态网页技术的服务器叫做web应用服务器。