Author：bit4@勾陈安全实验室

前言

在一次对线上业务的测试中，遇到过一个奇怪的问题，经排查和LVS以及后台应用服务的同步有关，现在分享如下；并对web架构的基础知识和个人经验认为可能存在的问题做简单的总结。

现象

1. 爆破接口本来是做了防护的，即当某IP的请次数超过一定的阀值后返回403（正常请求返回的是200），但是大量的多线程请求中出现了某些请求仍然正常的情况。如图：

1. 在某次对另一个业务的测试中，也发现了类似的问题。某登录接口，多次尝试后开始要求图形验证码确认，但当用户多次点击按钮请求，图形验证码要求却消失了。

原因

经过运维的排查，发现根本原因是后端多台服务器配置不一致导致的，比如有三台服务器的代码是最新的，有防护策略，而有一台服务器的代码没有得到更新，没有防护策略，当多次请求的时候，LVS将流量指向了没有启用防护策略的服务器，响应包也就没有要求图形验证或响应正常，从而导致了多个请求中存在了无需验证的数据包。

测试方法和利用

多线程、高并发请求；这些大量异常包中的正常请求也是有可能被利用的，比如，如果LVS是轮询算法，即每N次就有一次可利用的请求。

总结

现在的web应用早已不是单台服务器的时代了，往往都有一个庞大的web架构来支撑一个应用。个人学习了一下相关基础知识，并根据经验罗列了一下这些架构中可能存在的问题。

习惯了通过思维导图来记录知识，高清大图请点击或者右键查看：

Xmind源文件请访问Github获取。