【第3天】Web架构知识（OSS存储&负载均衡&CDN加速&反向代理&WAF防护）

#WAF

原理：Web应用防火墙，旨在提供保护

影响：常规Web安全测试手段会受到拦截

这边以宝塔软件类防火墙进行演示：

该类工具会在网站受到相应的攻击时，自动开启防护

例如：SQL注入  xxxxx.xxx.com/?id=1，正常参数

xxxxx.xxx.com/?id=1‘，匹配到违规字符’，系统直接拦截，报危险提醒

文件上传等类似，不同的waf基于不同的检测机制，常规都是使用正则进行拦截，我们也可以相应的规避这些规则，实现bypass

 

#CDN

原理：内容分发服务，旨在提高访问速度

影响：隐藏真实源IP，导致对目标测试错误

对于配置cdn的网站，通常在测试之前需要先获取该站的真实ip，要不然任何测试都是徒劳的。

常见的获取网站真实IP的途径有：

• 超级ping
• 获取子域名ip
• 海外测试
• 查看自建邮件ip
• 网络搜索引擎搜索（可能存在历史ip，再未部署cdn之前记录的）
• ip库fuzz（概率不大，并且需要跑的内容过于庞大）
• ……

在获取到真实ip之后，即可绑定本地host，使用漏扫工具等进行测试。

 

#OSS

原理：云存储服务，旨在提高访问速度

影响：

无法进行getshell等操作，但是可以通过获取osskey进行储存桶权限接管，直接得到oss权限

 

阿里云OSS:

开OSS

2、新建Bucket

3、配置Bucket属性

4、配置Access访问

原理：

为什么要使用第三方存储？

1）静态文件会占用大量带宽

2）加载速度

3）存储空间

影响：

上传的文件或解析的文件均来自于OSS资源，无法解析，单独存储

1、修复上传安全

2、文件解析不一样

3、但Accesskey隐患

演示：

 

#反向代理

正向代理：为客户端服务,客户端主动建立代理访问目标（不代理不可达）

反向代理：为服务端服务,服务端主动转发数据给可访问地址（不主动不可达）

原理：通过网络反向代理转发真实服务达到访问目的

影响：访问目标只是一个代理，非真实应用服务器

注意：正向代理和反向代理都是解决访问不可达的问题，但由于反向代理中多出一个可以重定向解析的功能操作，导致反代理出的站点指向和真实应用毫无关系！

 

#负载均衡

原理：分摊到多个操作单元上进行执行，共同完成工作任务

影响：有多个服务器加载服务，测试过程中存在多个目标情况

 

#定义负载设置

upstream fzjh{

server xx.xx.xx.xx:80 weight=2;

server xx.xx.xx.xx:80 weight=1;

}

其中weight表示权重，数值越大表示所给予的权重越大，即被访问的概率比其他服务器的也相应增加

#定义访问路径 访问策略

location / {

proxy_pass http://fzjh/;

}