目录
0 知识点
1 WAF防护
原理:Web应用防火墙,旨在提供保护
影响:常规Web安全测试手段会受到拦截
演示:免费D盾防护软件
目前主要集中在四方向:
1.1 演示D盾
前提:一个服务器,搭建IIS
先把D盾防护关闭
访问网站后门1.asp
连接搭建的iis网站
发现可以访问目录下的1.asp后门文件
然后用哥斯拉去连接一下后门
连接成功,添加后进入
可以看到是能够正常通讯的。
然后把D盾防护开启
在尝试访问一下iis网站
发现D盾禁止访问
再次连接进入也初始化失败
这就是一个典型的有没有waf防护的区别
不容易绕过waf,能绕过的一般都是防护能力较低的
2 CDN
原理:内容分发服务,旨在提高访问速度
影响:隐藏真实源IP,导致对目标测试错误
演示:阿里云备案域名全局CDN加速服务
windows2012+BT宝塔面板+CDN服务
开放CDN之后,会在选择区域分布各种各样的节点,用来提高访问速度
访问网站时访问到的ip是距离最近的节点的ip,而不是真实网站的ip
2.1 准备好一个备案域名
测试一下开没开CDN的区别
备案就在右上角ICMP备案就好
2.2 如何开通CDN
在上面搜索框搜cdn加速
域名管理-添加域名
业务类型选择全站加速
新增源站信息
源站就是网站的真实ip
点击下一步
需要等待3-5分钟去配置成功
2.2 添加DNS CNAME记录
刷新一下,配置成功
这时候去ping依然不通
有些地区生效快,有些地区生效慢
可以用多地ping去检测
超级ping就是利用全国的一些公用服务器去解析目标地址的ip地址
2.3 配置宝塔的域名绑定
47.122.22.195 -> www.zoro8.com
3 OSS存储
云存储:存储数据的
双击运行.exe文件,记得记住密码,然后就可以通过5212端口访问服务器
服务器安全组管理:
这个就是网盘程序源码
上传图片就上传到了这里
添加存储策略
在阿里云搜索oss存储
配置进去
存储策略名1111
后面的一直下一步下一步就行了
然后点击保存
再重新上传一个图片
发现就在服务器页面发现不了了
文件上传到了这里
如果上传一个木马后门,文件即使上传上去了,也是上传到oss页面了
直接访问url,也访问不到正确的东西
只是用来存储的,不能用来解析,所以后门上传上去也是没用的
直接堵住了上传漏洞
安全隐患:
可以通过accesskey控制阿里云下的应用
这就是云安全
4 反向代理
4.1 正反向代理区分
正向服务:
正向代理就是帮助客户端看服务端,比如翻墙看外网(你不给我我想办法要)
反向代理:
服务器自己主动把流量给到代理服务器,客户端可以访问代理服务器(你给我了我才能要)
4.2 反向代理配置
宝塔上搭建
先添加一个域名
然后去iis添加一个解析记录
在设置里开反向代理
重新访问刚才创建的网站,就直接到了百度
这时候如果测试这个网站的安全性,就变成了测试百度
同样,如果开启高级代理功能,还可以添加关键词,让用户访问该网站的admin时,直接跳转到其他网站的后台(重定向)
(这不就是出发关键词后直接跳转)
5 负载均衡
5.1 负载均衡讲解
用cdn的这个图理解
就是用多个服务器支持某个服务,防止有一个服务器突然崩了,导致该服务不能正常运行了。实际上就是预防灾难
一般一个网站就是一台服务器,但是一个网站用三四台服务器提供服务,这时候如果去渗透,就需要把所有的服务器全部拿下才可以
5.2 配置负载均衡
先把反向代理关一下,把反向代理的代码注释
现在指向网站就正常了
按照代码去进行配置
访问根路径的时候启动负载均衡
删除两个weight
改完之后就是让用这两个网站去提供服务
保存
再去访问那两个网站
发现两个网站就可以同时为其服务
如果加上权重
权重就是以那个为主
6 总结
这些知识就知道了遇到某些情况的时候,什么攻击方法是没用的
比如遇到oss,上传就是不起一点作用的
