- 1Android开发6年,面试腾讯我才发现这些知识点竟然没掌握全?(Android面试题大全篇)
- 2windows系统下重启springboot项目时,提示端口被占用,却找不到占用端口的程序_springboot启动端口被占用,确定没有被占用
- 3NLP-BERT 谷歌自然语言处理模型:BERT-基于pytorch_bert github
- 4距离度量常见四种距离方式的及KNN算法对鸢尾花分类_knn距离度量方式
- 5基于spring boot+maven+opencv 实现的图像深度学习java人脸识别jsp源代码Mysql_基于spring boot + maven + opencv 实现的图像深度学习
- 6人工智能算法原理与代码实战:自然语言处理的基本原理与实现_中文自然语言处理基础与实战的算法的思想
- 7windows安装mongodb6.x并设置用户名密码_windows设置mongo密码
- 8USACO Section 4.3 Letter Game_信游戏在家里和电视上都很流行。在游戏的一个版本中,每个字母都有一个值,你收
- 9热门不再!科技大厂放缓招聘,美国计算机专业学生求职四处碰壁
- 10基于FPGA的交通灯_基于fpga使用verilog的交通信号灯论文结论
腾讯EdgeOne产品测评体验—Web安全的攻与防:云端防护一体化_由 tencent cloud edgeone 提供防护无法访问
赞
踩
简介
EdgeOne,作为腾讯云推出的全新CDN解决方案,集合了域名解析、智能加速、四层加速、安全防护以及边缘函数计算等多元化服务。自今年8月开放订阅以来,越来越多的网站选择EdgeOne作为他们的加速与防护伙伴,其受欢迎程度可见一斑。
然而,随着网络攻击的日益猖獗,尤其是针对Web应用程序和API的攻击逐年激增,网站安全成为了开发者们不得不面对的重要问题。DDOS攻击、零日漏洞利用等事件频发,给网站带来了巨大的风险。为了解决这些安全问题,EdgeOne持续升级其产品能力,致力于为用户提供更安全、更易用、更开放的服务。但实际效果如何呢?
本次测试,我们将对EdgeOne进行全面评估,从站点加速性能到安全防护能力,以验证其是否真正能够为用户提供一体化防护,我们将从多个维度对EdgeOne进行全面评估,包括站点加速性能、XSS防护能力以及SQL注入防御等可能威胁Web安全的各个方面,以此来验证EdgeOne是否能够实现真正的一体化防护。
接入准备
EdgeOne购买及接入
通过访问EdgeOne的官网并进行下单购买,我们选择了基础版。基础版和个人版的差别还是很大的,除了流量外,在安全能力上有很大提升,EdgeOne基础版开放了CC/WAF/速率限制等更多高级防护能力,能够更好的保障站点安全,对于首次使用的开发者,建议根据自身情况选择合适的版本。
按流程往下
开通成功后前往控制台,来到已购买的套餐服务页面
绑定站点
注意:这里建议用已备案的域名操作
接入域名是腾讯云已备案的域名,具备全球访问能力。因此,这里选择了全球可用区,并使用CNAME方式接入,这是非常合适的选择。通过CNAME接入,能够充分利用EdgeOne的全球加速服务,提升域名的访问速度和稳定性。操作时请确保CNAME设置正确,并持续关注域名的解析情况。
为了验证网站归属权,需要进行验证
前往域名解析商进行解析即可
完成归属验证
体验:操作步骤简单明了,条理清晰,支持多种接入验证,方便快捷,引导效果很棒!
服务器环境配置
添加测试站点
对同一个站点,添加两个域名:test(接入EdgeOne)和test2(正常),确保访问的网站项目是一致的不会给测试带来其他问题,通过下面的测试观察test和test2在EdgeOne 的影响下有什么区别?
测试域名为ICP备案域名 test.**.club
关闭防护
为了验证后面的CDN加速、SQL注入、XSS攻击,由于服务器自身就有一定的防护,于是在测试前需要关闭主机防火墙及攻击站点的php环境,并删除PHP禁用函数等
| 宝塔系统防火墙 | 已关闭 |
|---|---|
| 站点选择PHP低版本5.4 | 已完成 |
| 去除禁用函数 | 已完成 |
| niginx防火墙 | 已关闭 |
关闭系统防火墙
关闭Nginx防火墙
安装php5.4,去掉禁用函数,关闭防护
关闭后的站点测试将会在下方继续说明
安全性能测试
XSS攻击
我们已经介绍过了域名test和test2的区别,这里不做过多的赘述,接下来写一个php脚本用来测试攻击情况
这里选择PHP5.4是因为PHP5.6以下的版本存在漏洞,无法有效防御一些简单的攻击。为了更好地体验在毫无防备的情况下EdgeOne的作用,我们特意选择了这个版本。
携带xxs代码的参数访问域名,我们可以发现,被宝塔防火墙拦截了,攻击无效
如果我们关闭了防火墙以及之前提到的服务器环境防护措施,就会发现XSS攻击生效了。这个时候,就说明我们的防护体系已经全面失效,可能会面临不法分子的入侵风险。
接下来我们测试接入EdgeOne的域名test进行测试,携带xss代码的参数访问域名,同样会受到xss脚本攻击
观察EdgeOne的安全分析,发现存在日志,为什么日志有命中纪录但是却不拦截?这时候你可能会说接入了EdgeOne也许没有用?
其实还有一个步骤没有操作,需要设置web防护规则
登录 边缘安全加速平台控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
在站点详情页面,单击安全防护 > Web 防护
在 Web 防护详情页左侧的防护域名列表中,选择需开启防护的域名
注意:由于我的是站点全局策略,所以我们需要使用上面的【站点全局策略】
找到托管规则卡片,单击设置。
将XSS跨站脚本攻击防护处置方式改为拦截
注意:需要将下方的观察模式关闭,否则无效
开启后我们进行测试访问,EdgeOne拦截效果比宝塔的防护还做得好,直接断开连接
通过F12查看网络资源发现返回状态码566 Waf Forbid
当携带参数为x=1时可以通过,因为这个时候的参数是正常的并非一些xss脚本,于是EdgeOne就放行通过了
我们再来对比一下相同站点不同域名的test2,test2没有做任何防护,依然可以进行xss漏洞攻击
经过各种详细的比对,不难得出EdgeOne可以轻松完成Web网站的安全防护,如果你是刚刚进入Web领域的小白或者是小微企业,想将安全防护做好,却缺乏专业指导,不妨试试EdgeOne,接入简单,投入时间少,关键是安全可靠,后台数据日志全部可视化,可针对不同地区、不同方案配置安全托管规则
sql注入
刚刚在XSS攻击测试下已经对test域名启用了EdgeOne的防护,现在我们直接测试test和test2进行比较看下防护效果
编写一个简单的弱口令:
`x=' OR 1=1#
- 1
通过x进行参数传递,下面两个窗口进行比较,左边为原站(test2),右边为接入EdgeOne的域名(test)站点,效果显著,左侧窗口代码被执行了,右侧窗口提示无法访问此网站(566 Waf Forbid)
当web应用向后台数据库传递SQL语句进行数据库操作时,如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据,把用户输入的数据当作代码来执行,违背了“数据与代码分离”的原则。如果您担心自己的Web站点或者接口有SQL注入风险,建议对接EdgeOne,一步到位!
站点加速测试
代码测试
接下来我们对两个域名的网文进行测速,通过代码:
测试test(未接入)的访问速度
给test2添加CDN
选择网站加速
继续验证解析域名
返回刷新已经生效
测试一下套上了CDN的域名test
| 测试项目 | DNS解析时间 | 建立时间 | 传输时间 | 下载速度 | 比较 |
|---|---|---|---|---|---|
| test(未接入CDN) | 36.7ms | 92.29ms | 92.68ms | 6232 b/s | 声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/知新_RL/article/detail/711417 推荐阅读 相关标签 Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。 |
