waf测试用例

最新推荐文章于 2024-05-11 08:10:41 发布
最新推荐文章于 2024-05-11 08:10:41 发布
阅读量677 收藏 1
点赞数
文章标签: 测试 数据库 运维
原文链接:http://www.cnblogs.com/debugzer0/articles/4859123.html
版权
weixin_34198583
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WAF检测率及误报测试工具Gotestwaf
colgcolg的博客
01-02 1万+
WAF检测率 误报率测试工具
web防火墙WAF功能测试方案
10-17
根据国际权威机构WASC(Web Application Security Consortium )和OWASP(Open Web Application Security Project)的分析,国内外的信息安全厂商当前能防范的针对Web服务器的攻击类型主要有SQL注入攻击、XSS攻击、HTTP Flood攻击、爬虫、CGI扫描、漏洞扫描、盗链防护、CSRF(Cross-Site Request Forgery)攻击防护等。但事实上,能防范和能准确高效防范是两个完全不同的概念。只有提供准确高效防范,才能保护最终用户的投资,并提升对外交互体验。纵观国内外的WAF产品,针对这些攻击的检测手段也各有特色。
waf测试
qq_38312411的博客
09-29 1602
waf
2024年Go最新使用Gotestwaf测试WAF检测能力,准备Golang面试
最新发布
2401_84925152的博客
05-11 825
由于这是一个YAML字符串,因此你还可以使用二进制编码,具体请参考https://yaml.org/type/binary.html。运行命令之后,你将会在reports文件夹下查看到waf-test-report-.pdf报告文件,你也可以将其映射到容器中的/go/src/gotestwaf/reports处。最新版本的Gotestwaf可以通过DockerHub库直接获取:https://hub.docker.com/r/wallarm/gotestwaf
使用Gotestwaf测试WAF检测能力
weixin_43977912的博客
10-08 762
关于Gotestwaf Gotestwaf,全称为Go Test WAF,该工具可以使用不同类型的攻击技术和绕过技术来测试你Web应用程序防火墙的检测能力。Gotestwaf是一个基于Go开发的开源项目,它实现了一种三步请求生成过程,可以对编码器和占位符的Payload进行相乘操作。假设你定义了2个Payload、3个编码器(Base64、JSON和URLencode)和1个占位符(HTTP GET变量)。在这种情况下,Gotestwaf将在测试用例中发送231=6个请求。 Payload 你可以发送的Pa
X-WAF简单测试体验
08-27 2518
 X-WAF 最近才关注到的一款云WAF,花了一些时间搭建了一个环境,并做了一些测试,感觉比较适合新手来练习WAF Bypass。 X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。 官网:https://waf.xsec.io/ 源码:https://github.com/xsec-lab 安装部署 系统版本:Centos6.5 x86...
ftw:测试WAF的框架(FTW!)
05-03
WAF测试框架(FTW) 目的 该项目是由ModSecurity和Fastly的研究人员创建的,旨在为WAF规则提供严格的测试。 它使用OWASP Core Ruleset V3作为基线来测试WAF上的规则。 规则集中的每个规则都加载到YAML文件中,该文件...
测试-WAF防护测试-2020.8.27.docx
09-01
这个是公司新买了一台WAF,我测试功能是否正常时的记录。仅供同学们参考,没有太多的技术含量。如果同学们在使用的过程中有不明白的地方可以咨询我
网络安全之WAF攻防实战笔记
09-21
网络安全之WAF攻防实战笔记,行业大神学习总结。 这份文档分为技巧篇和实战篇,技巧篇介绍了各种服务器、数据库、应用层、WAF层的特性,在实战篇中,我们将灵活运用各种技巧去绕过WAF防护。有些姿势或许早已失效,但...
WAF_测评方案_版本_2.0_BETA.pdf
08-11
1 WAF 测评介绍 1.1 WAF 测评的意义 1.2 WAF 测评内容 1.3 测评结果说明 2 WAF 测试方案 2.1 WAF 功能测试 2.2 WAF 性能测试 2.3 用户体验 3.测评结果
waf测试工具
juewuer的博客
12-12 2236
浏览器 (win: chrome, Edge, IE11……) Curl (Linux) Wrk (linux, 七层发包工具) ab (linux, 七层发包工具) Sqlmap (渗透测试) loic – ddos BurpSuit(社区版,商业版) Acunetix(win, Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱...
测试用例记录
05-09
测试用例及记录跟踪表
WAF-应用层攻击保护测试对比
09-12
对比启明星辰、绿盟、安恒等品牌WAF在应用攻击保护时的策略防护能力。 二. 测试步骤 2.1 环境漏洞验证 验证序号 1 验证方法 用and 1=1和and 1=2验证注入漏洞 测试步骤 1. 在浏览器打开http://192.168.1.155/ypnew_view.asp?id=791正常页面 2. 修改浏览器URL:http://192.168.1.155/ypnew_view.asp?id=791 and 1=1-- 3. 修改浏览器URL:http://192.168.1.155/ypnew_view.asp?id=791 and 1=2-- 漏洞验证 若执行步骤2与步骤1均能正常访问页面,执行步骤3得出不同的访问页面,说明存在注入漏洞 验证结果 用户签字 2.2 防护效果测试 测试序号 1 测试项目 防止黑客利用注入漏洞获取数据库版本和操作系统信息 描述 获取数据库版本和操作系统信息是黑客入侵的前提,本项主要是测试WEB防护设备能否有效的防止数据库版本和操作系统信息的泄漏 测试步骤 1、 正常浏览192.168.1.155/ypnew_view.asp?id=791 2、 在攻击机浏览器中输入以下URL: http://192.168.1.155/ypnew_view.asp?id=791 and 1=2 union all select 1,2,3,4,@@version,'6',null,null,null,null,null,null,null,null from sysobjects-- 预期结果 数据库版本信息未泄露 备注 如出现下图,说明数据库版本信息泄露,WEB应用防护设备未起作用 测试结果 用户签字 测试序号 2 测试项目 防止黑客利用注入漏洞获取数据库库名 描述 数据库库名是黑客进行SQL注入时常获取的信息,有效地防护数据库信息可以能大大降低注入攻击的风险,本项主要测试WEB应用防护设备是否能防护数据库信息泄露漏洞 测试步骤 在攻击机浏览器中输入以下URL: http://192.168.1.155/ypnew_view.asp?id=791 and 1=2 union all select 1,2,3,4,db_name(),'6',null,null,null,null,null,null,null,null from sysobjects-- 预期结果 数据库信息未泄露 备注 若在测试结果中出现下图,说明没有防护效果。 测试结果 客户签名 测试序号 3 测试项目 防止黑客通过注入漏洞获取数据库表名信息 描述 当黑客成功获得数据库的版本和数据库库名后,数据库中表的名称和内容就是SQL注入攻击的下一目标,本项主要测试WEB应用防护设备是否能防护获取数据库表名的攻击 测试步骤 1. 在攻击机浏览器中输入以下URL: 192.168.1.155/ypnew_view.asp?id=791 and 1=2 union all select 1,2,3,4,(select top 1 name from sysobjects where xtype='U' and name not in (select top 2 name from sysobjects where xtype='U')),null,null,null,null,null,null,null,null,null from sysobjects-- 2. 在攻击机浏览器中输入以下URL: 192.168.1.155/ypnew_view.asp?id=791 and 1=2 union all select 1,2,3,4,(select top 1 name from sysobjects where xtype='U' and name not in (select top 37 name from sysobjects where xtype='U')),null,null,null,null,null,null,null,null,null from sysobjects-- 预期结果 数据库table名未泄露 备注 如出现以下图示,说明WEB防护效果未起作用,数据库表泄漏 测试结果 用户签字 测试序号 4 测试项目 防止黑客利用update修改数据库的内容 描述 如果黑客成功获取了数据库和表的相关信息,将会尝试修改表内的数据,直接篡改网站内容,因此对于恶意修改数据库内容的入侵要求严格防护.本项将测试web防护设备是否能防护通过update方式修改数据库内容的恶意攻击 测试步骤 利用注入漏洞使用Update方式修改数据库内容 预期结果 数据库内容未被篡改 备注 攻击机中输入以下URL,如出现页面被篡改,说明防护失效 http://192.168.1.155/ypnew_view.asp?id=791 测试结果 用户签字 测试序号 5 测试项目 防止黑客利用注入漏洞获取后台账号信息 描述 后台管理员的账号密码信息如果泄露,黑客就可以对网站进行各种严重损坏客户利益的破坏,本项测试WEB应用防护设备能否有效防护网站管理员后台账号密码信息泄漏 测试步骤 利用注入漏洞获取后台账号信息 预期结果 不能获得后台用户名密码: 备注 当出现下图时,说明用户名密码被盗取,WEB应用防护设备无效果 打开http://192.168.1.155/admin/index.asp,输入用户名密码,可直接管理后台:http://192.168.1.155/admin 测试结果 客户签名
防火墙性能测试浅析
03-23
防火墙性能测试浅析性能测试用例防火墙是目前网络安全领域广泛使用的设备。其主要目的就是保证对合法流量的保护和对非法流量的抵御。众所周知,在世界范围内网络带宽(包括核心网络及企业边缘网络)总的趋势是不断的提速升级,然而从网络的整体结构上看,  防火墙性能测试浅析  性能测试用例  防火墙是目前网络安全领域广泛使用的设备。其主要目的就是保证对合法流量的保护和对非法流量的抵御。众所周知,在世界范围内网络带宽(包括核心网络及企业边缘网络)总的趋势是不断的提速升级,然而从网络的整体结构上看,防火墙恰处于网络的末端。显而易见,防火墙的性能将对最终网络用户得到的实际带宽有决定性的影响。所以目前防火墙的性能指标
WEB安全性测试测试用例(基础)
06-06
WEB安全性测试测试用例(基础)
彩虹战队waf测试工具(测试数据)
cnmeimei的博客
08-22 958
安全狗 D盾 云锁 360主机卫士 奇安信 绿盟 腾讯云 百度云 阿里云 小米斗鱼 启明星辰/天融信 深信服 华为 知道创宇 长亭 360天眼
什么是WAF防护?
热门推荐
ying_yingying的博客
02-04 1万+
在又拍云的云安全类别中,WAF防护是其中之一的功能,WAF主要防护的是来自对网站源站的动态数据攻击,可防护的攻击类型包括SQL注入、XSS攻击、CSRF攻击、恶意爬虫、扫描器、远程文件包含等攻击。     SQL注入攻击(SQL Injection),          简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件
利用 PHP 特性绕 WAF 测试
二狗的博客
08-09 348
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
WAF规则测试(绕过)工具 - tsakwaf 0.9.1
收集盒 Book box
09-17 1164
tsakwaf 是一款针对web应用防火墙(WAF)的瑞士军刀,它的主要目的是支持web应用程序渗透测试人员的日常工作。 tasfwaf  有一些独有的特点,它能够识别不同的web应用防火墙并能够检测WAF的能力。 tsakwaf 基于perl编写,可以识别一些被支持的WAF
如何测试waf拦截反序列化漏洞
04-28
测试WAF拦截反序列化漏洞的方法如下: 1. 构造一个包含反序列化漏洞的请求,例如在请求中添加一个包含恶意代码的序列化对象。 2. 发送该请求到目标应用程序,并观察应用程序的响应和行为。 3. 如果应用程序没有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值