这是第一块 web前端安全。那么第二块就是说如果你的 web通信协议没有选择更安全的，像https之类的去做加密处理，那么这个时候你就会存在第二个安全问题，也就是你的web通信安全的问题。这个我快速写一下，那么刚才这里其实是web前端的这个安全问题。好，那么到服务器这里面来的话，它的这个安全问题，其实总结来讲就是属于web后端的问题，是吧？当然它的web后端可以再区分出来，比方说它的中间件的安全问题，如果说它没有做好这个版本的更新，可能有很多像stru这个apache 漏洞。近几年有大量高频的这种rce是吧？

远程代码执行的这种漏洞出来，就是针对 web后端中间件的，那如果是针对这个漏洞的话，那大家都知道那非常经典的话，比方说像什么oracle注入之类的这样的一些漏洞，那比方说，针对我们的这个编程语言是吧？包括我们的这种技术框架，那么这里面其实还有很多，包括PHP，那么它可能还有什么上传包含是吧？因为你的这个过滤不严谨等等，有大量的一些漏洞等着我们。所以这里面其实都是属于这个，web后端，web服务端的这么一个安全问题，或者web数据端的这么一个安全问题。

Ok，就是整个我们学习 web安全，我们去研究的一个话题了，那当然的话我们如果说想快速一点的去理解这一块的话，通常我们都知道我们要去学习一个东西叫做漏洞培训。他10这套体系包括各种各样的一些业务逻辑的漏洞，那么就可以把整个web应用安全的这些技术整理的七七八八了，ok那么这是一块这是一块，我们把它这样画出来。