web 拓展
WAF
原理:Web应用防火墙,旨在提供保护
影响:常规Web安全测试手段会受到拦截
演示:免费D盾防护软件
Windows2012 + IIS +D盾
CDN
原理:内容分发服务,旨在提高访问速度
影响:隐藏真实源IP,导致对目标测试错误。
如果各地 ip ping 同一个域名得到的 ip 都是一样的话就代表没有启动 CDN 服务
OSS
原理:云存储服务,旨在提高访问速度
原理:
为什么要使用第三方存储?
1)静态文件会占用大量带宽
2)加载速度
3)存储空间
影响:
上传的文件或解析的文件均来自于OSS资源,无法解析,单独存储
1、修复上传安全
2、文件解析不一样
3、但Accesskey隐患
反向代理
正代理为客户端服务,客户端主动建立代理访问目标(不代理不可达)
反向代理为服务端服务,服务端主动转发数据给可访问地址(不主动不可达)
原理:通过网络反向代理转发真实服务达到访问目的
影响:访问目标只是一个代理,非真实应用服务器
注意:正向代理和反向代理都是解决访问不可达的问题,但由于反向代理中多出一个可以重定向解析的功能操作,导致反代理出的站点指向和真实应用毫无关系!
比如宝塔面板设置反向代理,ip/a 反向代理到灰色产业网站
负载均衡
原理:分摊到多个操作单元上进行执行,共同完成工作任务
影响:有多个服务器加载服务,测试过程中存在多个目标情况
其实就是容灾备份,万一因为自然灾害导致服务器崩坏可以启动另一台。