网络安全基础入门(二)—— Web其它
知识点
- 网站前后端分离及影响
- Docker容器网站及特点
- 集成软件站及影响
- 第三方建站
- OSS及影响
- CDN及其影响
- 负载均衡
- WAF及其分类
网站前后端分离
网站前后端分离(Frontend-Backend Separation)是一种常见的软件架构模式,其中前端和后端开发是分开进行的,它们独立地协同工作以构建现代Web应用程序,服务器也可能是分离的。前后端仅通过API交互和传输数据。目前比较成熟的前端框架有VUE、React、Angular等,后端一般采用Java、C++等。前后端分离架构可以提高安全性,但同时也需要采取额外的措施来确保系统的安全性。
网站前后端分离影响
1、前端页面大部分不存在漏洞,或漏洞较少
2、后端项目和前端项目大部分不在同域名
3、获得前端权限有可能不影响后端,后端权限需要单独获取
Docker容器网站
Docker是一个开源的应用容器引擎,基于 Go 语言并遵从 Apache2.0 协议开源。Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。通过 Docker,可以将我们的网站或应用程序封装在容器中,以便在不同的环境中进行部署,而无需担心环境差异和依赖问题
Docker容器网站特点
1、虚拟化技术独立磁盘空间,非真实物理环境,攻击到的可能是虚拟空间磁盘
2、docker逃逸问题(https://www.freebuf.com/articles/container/242763.html)
集成软件站
集成软件为建站和服务器管理提供了简化和便利的方式,用户可以使用一键部署功能来快速安装常见的Web应用程序(如WordPress、Joomla、Discuz)和服务(如Nginx、Apache、MySQL、PHP)。集成软件提供了直观和用户友好的图形用户界面(GUI),使得用户无需深入了解服务器管理命令即可轻松进行各种操作。一站式解决方案,涵盖了网站搭建和服务器管理的方方面面,包括Web服务器、数据库、FTP、DNS、SSL证书、备份、监控等。
集成软件站影响
1、 集成软件通常提供了安全性工具,如DDoS防护、Web应用程序防火墙、SSL证书管理等,以确保网站和服务器的安全性。
2、集成软件允许用户轻松创建和管理备份,以便在发生问题时还原数据。
第三方建站
某些网站是通过类似凡科建站的方式申请搭建的,网站所有者没有自己的专属服务器,只有使用权,没有所有权,网站的所有内容都是通过凡科建站的后台去配置的,我们安全测试的真实目标并不是网站本身,而是凡科建站平台。这种情况下一般没有什么有用的文件资源,因为一般情况下不会有人把重要的资产放在别人的服务器平台上
OSS(Object Storage Service)
"OSS" 是 "Object Storage Service" 的缩写,它是一种云计算服务,旨在提供可扩展、安全和高可用的对象存储解决方案。对象存储是一种数据存储方法,将数据保存为对象,每个对象包括数据本身、元数据和唯一标识符。这种存储方式非常适合存储大规模、非结构化的数据,例如图像、视频、文档、备份文件等。
OSS影响
1、OSS存储只是单纯的储存数据资源,没有代码执行环境,即使上传了后门脚本,也无法解析,相对于直接上传到网站服务器上,更加安全
2、存在Accesskey泄露隐患
CDN
CDN意为内容分发网络,可以加快数据密集型应用程序的网页加载速度,通过在多个地理位置建立一个入网点(PoP)或一组 CDN 边缘服务器来工作。这个分布在不同地理位置的网络基于缓存、动态加速和边缘逻辑计算的原则工作,CDN可以隐藏真实源IP,可能导致我们在安全测试中无法获取真实目标
CDN影响
CDN隐藏真实源IP,导致我们在安全测试时对目标测试错误,所以在安全测试时我们需要就行信息收集,判断是否存在CDN,如果存在CDN时我们需要通过一些方法知道真实的ip
负载均衡
负载均衡是在支持应用程序的资源池中平均分配网络流量的一种方法。现代应用程序必须同时处理数百万用户,并以快速、可靠的方式将正确的文本、视频、图像和其他数据返回给每个用户。为了处理如此高的流量,大多数应用程序都有许多资源服务器,它们之间包含很多重复数据。用户对应用程序的请求首先转到负载均衡器。然后,负载均衡器会将每个请求路由到服务器场中最适合处理该请求的单个服务器。
WAF防护
Web 应用程序防火墙(Web Application Firewall,WAF)是一种用于保护网站和 Web 应用程序免受恶意攻击和漏洞利用的安全技术。WAF 主要关注 Web 应用程序层面的攻击,例如跨站脚本攻击(XSS)、SQL 注入、跨站请求伪造(CSRF)等
WAF分类
