2.1-WAF\CDN\OSS\反向代理\负载均衡
WAF:就是网站应用防火墙,有硬件类、软件类、云WAF; 还有网站内置的WAF,内置的WAF就是直接嵌在代码中的安全防护代码
硬件类:Imperva、天清WAG
软件:安全狗、D盾、云锁
云:阿里云盾、腾讯云WAF
除了安全狗,D盾以前的产品还可以试试,新型的WAF绕不了
安装雷池WAF:
高版本Linux系统一条命令就可以安装了,低版本要手动安装
实验版本是:Ubuntu22.04
bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)" #要root
使用Docker搭建一个webgoat站点(注意服务器的防火墙)
docker run --name webgoat -d -p 8080:8080 -p 9090:9090 registry.cn-shanghai.aliyuncs.com/kubesec/webgoat:v2023.8
CDN:提高访问速度,就近访问原则,可以隐藏真实源IP,导致对目标测试错误
OSS:对文件上传漏洞有很大影响,存储在OSS中的资源只做存储不做解析,后门就算能上传也无法执行
cloudreve.exe:可以快速搭建一个文件上传网站的环境,还可以配置不同厂商的OSS存储策略包括阿里、腾讯云
面对OSS就找对方是否泄露 AK、SK
反向代理:无法直接确定对方是否使用了反向代理,需要进入到服务器内部看一看才能确定
负载均衡:将任务分摊到多个操作单元上进行执行,共同完成工作任务;有多个服务器加载服务,测试过程中存在多个目标情况