waf

原理：

​ web应用防火墙，指在提供保护

影响：

​ 常规web安全测试手段会遭受到拦截

演示：

​ 雷池社区版：http://waf-ce.chaaitin.cn/

​ uabntu20.04 + 雷池社区版

​ http://docs.waf.ce.chitin.cn/

bash -c "$(curl -fsSLK)https://waf-ce.chitin.cn/release/latest/setup.sh)"

​ 搭建网站：

​ https://zhuanlan.zhihu.com/p/705196831

docker run --name webgoat -d -p 8080:8080 -p 9090:9090 registry.cn-shanghai.aliyuncs.com/kubesec/webgoat:v2023.8

​ 配置雷池：

​ 添加站点-设置域名-上游地址-没买真实域名的修改本地host文件解析

cdn

原理：内容分发服务，指在提高访问速度

影响：影响真实ip地址，导致对目标ip测试错误

演示：阿里云备案全局进行cdn加速服务

环境：windows+BT面板+cdn服务

oss

原理：云存储服务，旨在提高访问速度

演示：https://cloudreve.org/

Windows2016 + cloudreve + 阿里云OSS

https://github.com/cloudreve/Cloudreve/releases/tag/3.7.1

1、启动应用

2、登录管理

3、配置存储信息

4、更改用户组存储属性

阿里云OSS:

​ 1、开OSS

​ 2、新建Bucket

​ 3、配置Bucket属性

​ 4、配置Access访问

原理：

​ 为什么要使用第三方存储？

​ 1）静态文件会占用大量带宽

​ 2）加载速度

​ 3）存储空间

影响：

上传的文件或解析的文件均来自于OSS资源，无法解析，单独存储

​ 1、修复上传安全

​ 2、文件解析不一样

​ 3、但存在AK/SK隐患

反向代理

正代理为：客户端服务，客户端主动建立代理访问目标（不代理不可达）

反向代理：为服务端服务，服务器主动转发数据给可访问地址（不主动不可达）

原理：

​ 通过网络反向代理转发真实服务达到访问目的

影响：

​ 访问目标只是一个代理，非真实应用服务器

注意：

​ 正向代理和反向代理都是解决访问不可达的问题，但由于反向代理中多出一个可以重定向解析的功能操作，导致反代理出的站点指向和真实应用毫无关系！

演示：

​ nginx反向代理配置

​ windows2016+bt+nginx

负载均衡

原理：

​ 分摊到多个操作单元上进行执行，共同完成工作任务

影响：

​ 有多个服务器加载服务，测试过程中存在多个目标情况

演示：

​ Nginx负载均衡配置

​ Windows2016 + BT宝塔面板 + Nginx

定义负载设置

upstream fzjh{
    server 120.26.70.72:80 weight=1;
    server 47.75.212.155:80 weight=2;
}

定义访问路径 访问策略

location / {
    proxy_pass http://fzjh/;
}