Apache是使用最广泛的Web服务器应用程序。之前都是照着网上的命令配置，没有真正去理解一下配置的缘由，这次就好好学习一下啦。

Nginx (“engine x”) 是一个高性能的 HTTP 和反向代理服务器,特点是占有内存少，并发能力强。

一些命令老是忘记，好记性不如烂笔头。

redis是完全开源免费的，遵守BSD协议，是一个高性能的key-value数据库。Redis服务的默认端口是6379,默认是不设置密码，可以未授权访问，导致出现一些安全隐患。

JSON Web Token（缩写 JWT）是目前最流行的跨域认证解决方案。

我们把变量从内存中变成可存储或传输的过程称之为序列化。
序列化之后，就可以把序列化后的内容写入磁盘，或者通过网络传输到别的机器上。
反过来，把变量内容从序列化的对象重新读到内存里称之为反序列化。

format格式化字符处只能读取属性而不能执行方法，可以用来读取一些敏感的信息，这里主要是关于format格式化的利用分析

Flask在生产环境中开启Debug模式,存在交互式Python shell可以执行自定义Python代码。

Flask的session是存储在客户端的(可以通过HTTP请求头Cookie字段的session获取)，Flask只对数据进行了签名(防篡改)没有进行加密，session的全部内容都是可以在客户端读取的，这就可能造成一些安全问题。

SSTI(Server-Side Template Injection)，即服务端模板注入攻击,ssti主要为python的一些框架 jinja2 mako tornado django，PHP框架smarty twig，java框架jade velocity等等使用了渲染函数时，由于代码不规范或信任了用户输入而导致了服务端模板注入，模板渲染其实并没有漏洞，主要是程序员对代码不规范不严谨造成了模板注入漏洞，造成模板可控.