Day03:Web架构&OSS存储&负载均衡&CDN加速&反向代理&WAF防护

目录

WAF

CDN

OSS

反向代理

负载均衡

思维导图


章节知识点:

应用架构:Web/APP/云应用/三方服务/负载均衡等

安全产品:CDN/WAF/IDS/IPS/蜜罐/防火墙/杀毒等

渗透命令:文件上传下载/端口服务/Shell反弹等

抓包技术:HTTP/TCP/UDP/ICMP/DNS/封包/代理等

算法加密:数据编码/密码算法/密码保护/反编译/加壳

WAF

原理:Web应用防火墙,旨在提供保护

影响:常规Web安全测试手段会受到拦截

演示:免费D盾防护软件,D盾防火墙

常见WAF分类

未开启D盾,asp后门可以访问

开启D盾,asp后门不可以访问

CDN

原理:内容分发服务,旨在提高访问速度

影响:隐藏展示源IP,导致对目标测试失误

演示:阿里云备案域名全局CDN加速服务

流程:

  1. 准备备案域名
  2. 配置宝塔的域名绑定
  3. 配置CDN加速选项
  4. 添加DNS CNAME记录

OSS

原理:数据以对象(Object)的形式存储在OSS的存储空间(Bucket )中。

为什么要使用第三方存储?

  1. 静态文件会占用大量带宽
  2. 加载速度
  3. 存储空间

影响:上传的文件或解析的文件均来自于OSS资源,无法解析,单独存储

  1. 修复上传安全
  2. 文件解析不一样,脚本等文件不可被解析执行
  3. 但存在Accesskey泄露的问题

网盘OSD储存搭建:Cloudreve - 部署公私兼备的网盘系统

搭建流程:

  1. 启动应用
  2. 登录管理
  3. 配置存储信息
  4. 更改用户组存储属性

win server2008使用cloundreve搭建web服务

使用初始账号密码登录 可在线拖拽上传文件

阿里云OSS:

  1. 开通OSS
  2. 新建Bucket
  3. 配置Bucket属性
  4. 配置Access访问

OSS存储只是单纯的储存数据资源,没有代码执行环境,即使上传了后门脚本,也无法解析,相对于直接上传到网站服务器上,更加安全。

Accesskey隐患(附带一张近期我的Accesskey报警)------云安全

这个Accesskey存在泄露的风险

正/反向代理

正向代理为客户端服务,客户端主动建立代理访问目标(梯子)

反向代理为服务端服务,服务端主动转发数据给可访问地址

原理:通过网络反向代理转发真实服务达到访问目的

影响:访问目标只是一个代理,不是真实应用服务器

注意:正向/反向代理都是解决访问不可达问题,但是反向代理中可以通过重定向解析的功能操作,把访问指向别的web服务,导致反代理的站点指向和目标的资产没有任何关系

在宝塔里可以通过Nginx反向代理配置

正向代理

反向代理

nginx设置反向代理

负载均衡

原理:分摊到多个操作单元上进行执行,共同完成工作任务

影响:有多个服务器加载服务,测试过程中存在多个目标情况

演示:Nginx负载均衡配置

Windows2012 + BT宝塔面板 + Nginx

宝塔面板修改负载均衡配置,weight数值对应访问优先级。

配置好负载均衡后,对baidu.whgojp.top域名解析就会以1/2的概率分别访问这两个服务器

正常生产环境是搭建两个相同的服务,以防止一个服务器宕机后网站不能使用服务

负载均很设置案例

复制代码
#BT定义负载设置
upstream fzjh{
server 121.43.145.189:80 weight=2;
server 121.41.59.211:80 weight=1;
}

#定义访问路径 访问策略
location / {
proxy_pass http://fzjh/;
}

思维导图

相关推荐
缘友一世6 小时前
网安系列【4】之OWASP与OWASP Top 10:Web安全入门指南
安全·web安全
安全系统学习17 小时前
网络安全之SQL RCE漏洞
安全·web安全·网络安全·渗透测试
聚铭网络1 天前
案例精选 | 某省级税务局AI大数据日志审计中台应用实践
大数据·人工智能·web安全
GLAB-Mary1 天前
AI会取代网络工程师吗?理解AI在网络安全中的角色
网络·人工智能·web安全
galaxylove1 天前
Gartner发布最新指南:企业要构建防御性强且敏捷的网络安全计划以平衡安全保障与业务运营
网络·安全·web安全
学习溢出1 天前
【网络安全】持续监控CI/CD:自动发现威胁与IoCs,软件供应链安全
运维·安全·web安全·网络安全·ci/cd
mooyuan天天1 天前
DVWA靶场通关笔记-文件上传(Medium级别)
web安全·文件上传·文件上传漏洞·dvwa靶场·文件上传mime
速盾cdn2 天前
速盾:高防CDN还有哪些冷知识?
网络·web安全
m0_738120722 天前
玄机——某学校系统中挖矿病毒应急排查
网络·安全·web安全
浩浩测试一下11 天前
渗透测试指南(CS&&MSF):Windows 与 Linux 系统中的日志与文件痕迹清理
linux·运维·windows·安全·web安全·网络安全·系统安全