文章总结： 本文详细阐述了Web架构中WAF、CDN、OSS及反向代理等组件对安全测试的影响与绕过思路。分析了域名、源码、数据存储及URL解析差异带来的安全意义，针对不同架构及源码形式提出了具体的测试策略。建议实践各类架构搭建，针对特性设计测试用例并关注新兴架构安全。 综合评分： 82 文章分类： WEB安全,渗透测试,漏洞分析,代码审计

Web 架构与安全测试学习笔记

原创

萧瑶 萧瑶

Alfadi组织

2026年2月1日 12:06 韩国

一、Web 拓展架构与防护

架构组件 主要作用 对安全测试的影响

WAF（Web应用防火墙） 拦截常见攻击（如SQL注入、XSS） 常规攻击手法可能被拦截，需绕过或探测WAF规则

CDN节点 加速访问，隐藏真实服务器IP 难以获取真实IP，需寻找源站或利用CDN配置缺陷

OSS存储 存储静态资源，减轻服务器负载 上传攻击可能失效，但可能存在AK/SK泄露风险

反向代理 转发请求到内网服务，保护后端 实际应用可能隐藏在后端，需识别代理规则与真实路径

负载均衡 将流量分发到多个服务器 目标可能分布在不同服务器，需识别多个入口点

二、课程核心知识点

1. 域名差异类型（以example.com为例）

· 主站：www.example.com

· 分站：blog.example.com

· 端口站：www.example.com:88

· 目录站：www.example.com/bbs/

· 子站：123.blog.example.com

安全意义：不同域名可能对应不同业务、不同防护策略，也可能是渗透测试的入口点。

2. 源码差异类型

· 目录结构：后台、文件、数据、配置等目录

· 开发语言：ASP、PHP、Java、Python、Go等

· 开发框架：

  · PHP：ThinkPHP、Laravel

  · Java：Spring、Struts2

  · Python：Django、Flask

· 开源/闭源/加密：影响代码审计的可行性

安全意义：了解源码类型可针对性进行代码审计、漏洞利用和权限测试。

3. 数据存储方式

· 数据库类型：MySQL、SQL Server、Redis、MongoDB等

· 部署方式：

  · 本地数据库

  · 分离数据库（独立服务器）

  · 云数据库（如RDS）

安全意义：数据库位置和类型影响注入攻击手法、连接方式和数据泄露风险。

4. URL 解析差异

· URL路由：MVC模式、伪静态等

· 路径类型：绝对路径 vs 相对路径

· 格式与权限：文件解析漏洞、脚本执行权限

安全意义：解析差异可能导致目录遍历、文件包含、权限绕过等漏洞。

三、Web 架构类型与安全测试思路

架构类型 特点 安全测试重点

套用模板型 使用现成建站系统（如CSDN、GitHub Pages） 重点测试用户权限、模板漏洞、二次开发代码

前后端分离 前端JS框架 + 后端API接口 API接口测试、前端XSS、逻辑漏洞，后端隐蔽性增强

集成软件包 使用宝塔、PhpStudy等集成环境 环境配置漏洞、默认权限、未授权访问

自主环境镜像 自行搭建的环境 系统与中间件漏洞、配置错误、弱口令

容器拉取镜像 使用Docker等容器技术 容器逃逸、镜像漏洞、配置不当

纯静态页面 仅HTML/CSS/JS，无后端动态代码 无传统Web漏洞，重点在于信息收集、资产发现、客户端漏洞

四、Web 源码形式

源码形式 特点 审计与测试重点

单纯简易源码 无框架，直写逻辑 逻辑漏洞、简单注入、文件包含

MVC框架源码 分层明确，控制器-模型-视图分离 路由安全、过滤器绕过、模型注入

编译调用源码 如.NET的DLL、Java的JAR 反编译分析、二进制漏洞、依赖库漏洞

前后端分离源码 前端独立工程，后端纯API API鉴权、参数校验、接口越权

加密型源码 部分或全部代码加密/混淆 解密尝试、黑盒测试、依赖外部组件漏洞

五、拓展架构演示与安全影响

1. WAF（以雷池社区版为例）

· 原理：基于规则拦截攻击流量

· 影响：需使用绕过技术（如编码、分段传输、规则盲区）

· 测试建议：识别WAF类型，测试其规则覆盖范围

2. CDN（以阿里云CDN为例）

· 原理：缓存内容，隐藏源站IP

· 影响：真实IP难获取，攻击可能打到CDN节点

· 测试建议：查找子域名、历史解析记录、MX记录等寻找真实IP

3. OSS（对象存储服务）

· 原理：静态资源外存，减轻服务器压力

· 影响：上传漏洞可能失效，文件不存储在本地

· 风险点：AK/SK泄露导致存储桶接管、配置错误导致公开访问

4. 反向代理

· 原理：代理客户端请求到内网服务

· 影响：实际业务隐藏在代理后，路径可能被重写

· 测试建议：尝试探测后端服务、测试代理配置错误（如SSRF）

5. 负载均衡

· 原理：分摊流量到多个服务器

· 影响：目标服务器可能有多个，会话可能不持续

· 测试建议：识别负载均衡策略，测试每个后端服务器的差异

六、安全测试综合思考

架构层面 了解意义 测试思路

域名架构 识别业务分布和入口点 子域名爆破、端口扫描、目录扫描、解析记录查询

源码架构 确定漏洞类型和利用方式 针对语言和框架的漏洞利用、代码审计、依赖组件检查

数据架构 定位数据存储和访问路径 数据库注入、未授权访问、云存储配置检查

解析架构 理解URL映射和文件处理逻辑 路径遍历、文件包含、解析漏洞测试、权限验证

七、关键要点总结

1. 架构决定攻击面：不同的Web架构会显著改变安全测试的重点和方法

2. 防护改变攻击路径：WAF、CDN、反向代理等防护组件需要相应的绕过技术

3. 源码决定漏洞类型：开发语言和框架直接影响可能存在的漏洞种类

4. 数据位置影响利用：数据库的部署方式决定了注入攻击的难度和方式

5. 解析差异产生漏洞：URL路由和文件处理方式的差异可能导致各类解析漏洞

学习建议：

· 实践各类架构的搭建，理解其工作原理

· 针对不同架构设计相应的测试用例

· 关注新兴架构（如云原生、Serverless）的安全影响

· 保持对绕过技术的研究，适应不断升级的防护措施

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Alfadi组织 萧瑶 萧瑶《Web 架构与安全测试学习笔记》