《渗透测试》Web架构&OSS存储&负载均衡&CDN加速&反向代理&WAF防护 2023 day3

1 WAF

原理：Web应用防火墙，保护web

影响：常规Web安全测试手段会受到拦截 如后台Web shell连接

演示：免费D盾防护软件

Windows2012 + IIS +D盾

分类： 硬件WAF 软件WAF 云WAF

 

2 CDN

原理：内容分发服务，提高访问速度

影响：隐藏真实源IP，导致对目标测试错误

演示：阿里云备案域名全局CDN加速服务

Windows2012 + BT宝塔面板 + CDN服务

 

3 OSS

原理：云存储服务，提高访问速度

通过网站上传的文件不再存储在搭建网站的服务器上，而是云端上。

影响：文件上传漏洞基本没用

演示：https://cloudreve.org/

Windows2012 + cloudreve + 阿里云OSS

https://github.com/cloudreve/Cloudreve/releases/tag/3.7.1

1、启动应用

2、登录管理

3、配置存储信息

4、更改用户组存储属性

 

阿里云OSS:

1、开通OSS

2、新建Bucket

3、配置Bucket属性

4、配置Access访问

 

原理：

为什么要使用第三方存储？

1）静态文件会占用大量带宽

2）加载速度

3）存储空间

影响：

上传的文件或解析的文件均来自于OSS资源，无法解析，单独存储

1、修复上传安全

2、文件解析不一样

3、但Accesskey隐患

 

4 反向代理

正向代理为客户端服务,客户端主动建立代理访问目标（不代理不可达）

反向代理为服务端服务,服务端主动转发数据给可访问地址（不主动不可达）

原理：通过网络反向代理转发真实服务达到访问目的

影响：访问目标只是一个代理，非真实应用服务器

注意：正向代理和反向代理都是解决访问不可达的问题，但由于反向代理中多出一个可以重定向解析的功能操作，导致反代理出的站点指向和真实应用毫无关系！

攻击的不是真正的网站，而使网站使用的反向代理指向的站点

演示：Nginx反向代理配置

Windows2012 + BT宝塔面板 + Nginx

 

5 负载均衡

原理：分摊到多个操作单元（服务器等)上进行执行，共同完成工作任务

影响：有多个服务器加载服务，测试过程中存在多个目标情况

演示：Nginx负载均衡配置

Windows2012 + BT宝塔面板 + Nginx

#定义负载设置

upstream fzjh{

         server 47.94.236.117:80 weight=2;  定义权重

         server 47.122.22.195:80 weight=1;

}