- WAF
- 原理: web应用防火墙,旨在提供保护
- 影响:常规的web安全测试手段会受到拦截
- 演示:免费的D盾防护软件
- Windows2012 + IIS + D盾
- 分类:
- CDN
- 原理:内容分发服务,旨在提高访问速度;全称Content Delivery NetWork,是建立并覆盖在承载网之上,由遍布全球的边缘节点服务器群组成的分布式网络;阿里云CDN能分担源站压力,避免网络拥塞,确保在不同区域,不同场景下加速网站内容的分发,提高资源访问速度;就近规则,找一个距离最近的站点为你服务;
- 影响:隐藏真实源IP,导致对目标测试有误;未开通CDN时,去拼一个网站回去找真实网站,但是开通CDN后,会以节点提供服务,看到的就是节点,非真实目标
- 示意图:
- OSS
- 原理:对象存储应用,是一种安全、低成本、高可靠的云存储服务;旨在提供访问速度
- 影响:上传上去的文件只会被存储,不会被解析,所以上传上去的后门就没用了,防止了文件上传漏洞
- 但是OSS会存在Accesskey隐患
- 为什么使用第三方存储?
- 静态文件会占用大量带宽
- 提高加载速度
- 节省存储空间
- OSS资源模型
- 反向代理与正向代理
- 正向代理为客户端服务,客户端主动建立代理访问目标(不代理不可达);你(客户端)主动去找媒婆(代理服务器),通过媒婆去找相亲对象(服务器)
- 反向代理为服务端读物,服务端主动转发数据给访问地址(不主动不可达);美女(服务器)主动找你俩共同的朋友(代理服务器),主动想要认识你(客户端)
- 影响:做安全测试的时候,访问的目标只是一个代理,并不是真正的应用服务器地址
- 注意:正向代理和反向代理都是解决访问不可达的问题,但是由于反向代理中多出一个可以重定向解析的功能操作,导致反向代理出的站点指定和真实应用毫无关系;这一点正向代理无影响,因为正向代理是你客户端的操作,服务器根本没有做任何动作;
- 正向代理示意图:
- 反向代理示意图
- 负载均衡
- 原理:分摊到多个操作单元上进行执行,共同完成工作任务;具备容灾的特性
- 影响:有多个服务器加载服务,测试过程中存在多个目标情况
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
