WAF：就是网站应用防火墙，有硬件类、软件类、云WAF； 还有网站内置的WAF，内置的WAF就是直接嵌在代码中的安全防护代码

硬件类：Imperva、天清WAG

软件：安全狗、D盾、云锁

云：阿里云盾、腾讯云WAF

除了安全狗，D盾以前的产品还可以试试，新型的WAF绕不了

安装雷池WAF：

高版本Linux系统一条命令就可以安装了，低版本要手动安装

实验版本是:Ubuntu22.04

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)" #要root

使用Docker搭建一个webgoat站点(注意服务器的防火墙)

docker run --name webgoat -d -p 8080:8080 -p 9090:9090 registry.cn-shanghai.aliyuncs.com/kubesec/webgoat:v2023.8

CDN：提高访问速度，就近访问原则，可以隐藏真实源IP，导致对目标测试错误

OSS：对文件上传漏洞有很大影响，存储在OSS中的资源只做存储不做解析，后门就算能上传也无法执行

cloudreve.exe：可以快速搭建一个文件上传网站的环境，还可以配置不同厂商的OSS存储策略包括阿里、腾讯云

面对OSS就找对方是否泄露 AK、SK

反向代理：无法直接确定对方是否使用了反向代理，需要进入到服务器内部看一看才能确定

负载均衡：将任务分摊到多个操作单元上进行执行，共同完成工作任务；有多个服务器加载服务，测试过程中存在多个目标情况

‍