【第3天】Web架构知识(OSS存储&负载均衡&CDN加速&反向代理&WAF防护)-网安笔记论坛-知识分享-安全小天地

【第3天】Web架构知识(OSS存储&负载均衡&CDN加速&反向代理&WAF防护)

#WAF

原理:Web应用防火墙,旨在提供保护

影响:常规Web安全测试手段会受到拦截

这边以宝塔软件类防火墙进行演示:

d2b5ca33bd220122

该类工具会在网站受到相应的攻击时,自动开启防护

例如:SQL注入  xxxxx.xxx.com/?id=1,正常参数

xxxxx.xxx.com/?id=1匹配到违规字符’,系统直接拦截,报危险提醒

文件上传等类似,不同的waf基于不同的检测机制,常规都是使用正则进行拦截,我们也可以相应的规避这些规则,实现bypass

 

#CDN

原理:内容分发服务,旨在提高访问速度

影响:隐藏真实源IP,导致对目标测试错误

对于配置cdn的网站,通常在测试之前需要先获取该站的真实ip,要不然任何测试都是徒劳的。

常见的获取网站真实IP的途径有:

  • 超级ping
  • 获取子域名ip
  • 海外测试
  • 查看自建邮件ip
  • 网络搜索引擎搜索(可能存在历史ip,再未部署cdn之前记录的)
  • ip库fuzz(概率不大,并且需要跑的内容过于庞大)
  • ……

在获取到真实ip之后,即可绑定本地host,使用漏扫工具等进行测试。

 

#OSS

原理:云存储服务,旨在提高访问速度

影响:

无法进行getshell等操作,但是可以通过获取osskey进行储存桶权限接管,直接得到oss权限

 

阿里云OSS:

开OSS

2、新建Bucket

3、配置Bucket属性

4、配置Access访问

原理:

为什么要使用第三方存储?

1)静态文件会占用大量带宽

2)加载速度

3)存储空间

影响:

上传的文件或解析的文件均来自于OSS资源,无法解析,单独存储

1、修复上传安全

2、文件解析不一样

3、但Accesskey隐患

演示:

d2b5ca33bd221413

 

#反向代理

正向代理:为客户端服务,客户端主动建立代理访问目标(不代理不可达)

反向代理:为服务端服务,服务端主动转发数据给可访问地址(不主动不可达)

原理:通过网络反向代理转发真实服务达到访问目的

影响:访问目标只是一个代理,非真实应用服务器

注意:正向代理和反向代理都是解决访问不可达的问题,但由于反向代理中多出一个可以重定向解析的功能操作,导致反代理出的站点指向和真实应用毫无关系!

 

#负载均衡

原理:分摊到多个操作单元上进行执行,共同完成工作任务

影响:有多个服务器加载服务,测试过程中存在多个目标情况

 

#定义负载设置

upstream fzjh{

server xx.xx.xx.xx:80 weight=2;

server xx.xx.xx.xx:80 weight=1;

}

其中weight表示权重,数值越大表示所给予的权重越大,即被访问的概率比其他服务器的也相应增加

#定义访问路径 访问策略

location / {

proxy_pass http://fzjh/;

}

请登录后发表评论

    请登录后查看回复内容