要进行渗透，首先我们需要对目标有一个清晰的认识，如果连网站有哪些东西，怎么构成都不知道，那你渗透个什么。

网站的组成

一个网站是怎么搭建的，主要分为以下几个部分：

服务器：比如windows，linux等操作系统。这是我们的硬件基础。
中间件：我们搭建的网站是在操作系统之上的，中间件的作用相当于操作系统和我们的网站沟通的桥梁。
数据库：数据库用来存放我们产生的用户数据。
源码：这里是我们网站的代码，可以使用开源的框架，也可以自己编写。
第三方插件：便于我们对网站管理，使用。

服务器

一般腾讯，阿里云的用来搭建网站的云服务器其本质还是一个windows或者linux操作系统。如果操作系统本身存在漏洞，没有及时更新，我们也可以进行利用，这个就是服务器漏洞。

中间件

中间件可以让操作系统更加高效灵活的管理我们的网站服务，常见的有Tomcat，Weblogic，Jboss，Jetty。
而这些中间件也是漏洞产生的高危地区，我们通过中间件进行攻击就属于中间件攻击

数据库

从数据库角度，我们可以进行服务攻击。

源码

从源码角度来看，就是大家熟知的sql注入，xss，xxe等。这些漏洞是由于程序员在写代码时考虑不完全造成的，相对于前面的漏洞来说，源码产生的漏洞是最多的。

网站的架构

知道了搭建一个网站需要什么，那我们访问的网站的每个网页又是什么结构。

目录型

我们访问一个网站：aquan.com，这是网站主页，
其它网页呈现为这个网站的目录下：aquan.com/test.php
其网页的结构类似与我们的目录，在一个文件中包含不同网页，一个网页下可能还有另一个。

端口型

我们的url：aquan.com对应一个IP
然后开放了一个端口作为一个网页：aquan.com:80
在另一个端口又开放了一个端口作为网页：aquan.com:443

多个站点

还有一些网站会将资源部署在不同的IP上，aquan.com对应一个IP是第一个网站
而第二个网站又是aquan.cn对应第二个网站

在渗透时知道了一个网站是什么架构，能够更加有效的帮助我们进行信息收集，漏洞的寻找。我们在首先需要寻找网站的资源，有哪些网页，开放了哪些端口。

网站搭建对渗透有影响的技术

站库分离

在搭建网站时，将数据库和网站放在两个不同的地方，当你拿到一个网站的控制器时，可能仍然无法获取全部用户数据

CDN

CDN是帮助用户提升访问速度的一个技术，具体操作自己查询，服务器的数据会缓存在其它节点，你访问的是节点，可能造成你攻击的是节点，成功也无法获取服务器权限。

WAF

防火墙技术，可以过滤大部分攻击。

还有负载均衡，主机防护等。