本文将用DVWA搭建测试环境,测试ShareWAF对OWASP常见威胁的防护能力。
如您是ShareWAF的使用者,从中可学习到相关防护的使用方法,也可了解到相应的防护效果。
![e8b68c49450e3bf3f2387c5b3a364a3c.png](https://i-blog.csdnimg.cn/blog_migrate/c6c838136368e9f9e42ee70e4f09da2d.jpeg)
一、DVWA测试环境搭建
web环境准备,使用phpstudy:
![82bc8d05aa4efcb260bd349f3dc1dae0.png](https://i-blog.csdnimg.cn/blog_migrate/5415914170b49534c06e00226b08a238.jpeg)
从dvwa官网,下载dvwa源码:
![e4b62e14f4a3f26469f5c2baf8498222.png](https://i-blog.csdnimg.cn/blog_migrate/8eee99e5dc375c7f2294b1615170e840.jpeg)
下载后,解压到phpstudy的www目录中:
![cae215606b7ebac51b53ccd4ce5d0a3f.png](https://i-blog.csdnimg.cn/blog_migrate/1ae807bf117374dc2af6608b8571eef6.jpeg)
打开config目,修改config.inc.php.dist为config.inc.php:
![3e6f3d4d2e990e83e1f2835b84b927b1.png](https://i-blog.csdnimg.cn/blog_migrate/aea4c933be13c9105bfd4953e0aa9408.jpeg)
同时在phpstudy中创建与config.inc.php中一致的数据库:
![efbe3e7994b002f5bffd5926a31633c2.png](https://i-blog.csdnimg.cn/blog_migrate/1ac9c6d08a8b7b3ec8b25cedd4c42eaa.jpeg)
启动apache和mysql:
![d2a2179d3d901011b84f3c1329cbc769.png](https://i-blog.csdnimg.cn/blog_migrate/093cdee8a9ef0ae6b0c38a8c1d4a70a5.jpeg)
初次访问,安装dvwa:
![6d91bfb545edceca07b6b7917c8cd0ec.png](https://i-blog.csdnimg.cn/blog_migrate/c917edb3799b1556285f6c234c57e9cf.jpeg)
执行最下方的“Create/Reset Database"。之后dvwa数据库创建成功,并会跳转到登录页。
![66830802c14c0f59c07028ab313869e2.png](https://i-blog.csdnimg.cn/blog_migrate/688c30426de0a059ed09bd2e3b38e8df.jpeg)
dvwa测试环境已准备好。
二、ShareWAF部署
从ShareWAF官网下载ShareWAF最新版:
![b93a1b4dc6253e680e2921261b714e59.png](https://i-blog.csdnimg.cn/blog_migrate/6ffcb66f45b96f7173b754e780821347.jpeg)
解压:
![91b089684fe7ed07bbc1115ae80e48f6.png](https://i-blog.csdnimg.cn/blog_migrate/afca38bb7a859869217897faab1d83ac.jpeg)
命令行中,安装依赖:
注:需要先安装好NodeJS,此过程略。
![6617bf8950ac40d5c76fc2be730dfb96.png](https://i-blog.csdnimg.cn/blog_migrate/e8c6b01874865677422873b2fe7dc6c8.jpeg)
安装非常快,如下图,安装过程:66秒。然后启动ShareWAF:
![f891ed4031240ef3841e6451b4b9620f.png](https://i-blog.csdnimg.cn/blog_migrate/ccde09f4cd29936cb6086bac50007f7a.jpeg)
进入ShareWAF管理员后台,添加测试域名。
注:管理员后台,非域名后台。管理员后台用于添加域名等,域名后台用于配置保护选项。
![49812797ec244c62d1aac7e32130dd4c.png](https://i-blog.csdnimg.cn/blog_migrate/2a09790f186c21903b030549fee8e18a.jpeg)
注意保护目标,使用的是81端口,因为要给SharWAF使用80端口,所以事先需在phpstudy中修改web端口为81:
![4c8ed12013612e4084c3015a423ee6b0.png](https://i-blog.csdnimg.cn/blog_migrate/7d025a72f2d7807fe3861a551ae670a0.jpeg)
由于是内网测试,所以需要修改hosts,做本地域名解析:
使用的测试域名是:www.dvwa.com
![493d9341bc822afa5a4a8ca17164b8f0.png](https://i-blog.csdnimg.cn/blog_migrate/e19e2ae307266b00dae097e87b4d5e3e.jpeg)
访问:
![cb4fcb3668c9e5be17258d8ff1049afc.png](https://i-blog.csdnimg.cn/blog_migrate/569ed9fa3f3ac304acc97f4722c1da4a.jpeg)
看页面中出现了ShareWAF图标,可知已在ShareWAF保护之下。
注:ShareWAF免费使用时有此图标,授权后没有。
接下来就可以进行防护测试了。
三、防护测试
登录DVWA:
![96212fae8d3a3bcafe075cecbca1bd5e.png](https://i-blog.csdnimg.cn/blog_migrate/10a768d4dde83a70b4e65264cbd137f6.jpeg)
SQL注入防护
防护前:
![7694dcf81535b852e3356fcc38b82423.png](https://i-blog.csdnimg.cn/blog_migrate/7010779406f5529c840306a212e3ffcb.jpeg)
ShareWAF有多重防护,这是前端WAF的防护效果。
可将其关闭,以测试其它防护引擎的防护效果:
![61e5982a90e33e4b21778198c125c42d.png](https://i-blog.csdnimg.cn/blog_migrate/65a9bd5aa147d3bb15f152c5d1fe009f.jpeg)
如要测试内核防护效果,先需配入防护规则:
![c2ba948d230881b825145a7b98f87ca9.png](https://i-blog.csdnimg.cn/blog_migrate/81e661c0cef2ae25834f5acd1f0c109a.jpeg)
注:上图规则为示例。
输入测试指令:
![79a977096d9767c660db3f81cfcf6b93.png](https://i-blog.csdnimg.cn/blog_migrate/68a79a0079accd3b37425fa201ff6ce0.jpeg)
防护前:
![914b7e40aee2426c8d6104c50717acc7.png](https://i-blog.csdnimg.cn/blog_migrate/ebbefb4a1c7e622eccaf1ad62e0f62cb.jpeg)
防护后,被拦截:
![ec2e241d164ad4f1a7b70cff732a47e5.png](https://i-blog.csdnimg.cn/blog_migrate/5ca2f260bc01a942cb986221022d2422.jpeg)
ShareWAF命令行后台,也会看到相关调试信息:
![2b1326a9984d937d4ef722027da43680.png](https://i-blog.csdnimg.cn/blog_migrate/bccbdbac0bf6ce34b1916cfa2c45de07.jpeg)
注:拦截时,除前端WAF外,都会在ShareWAF后台有相应的审核日志信息。
XSS防护
防护前:
反射型:
![dd5e60e4311480cadb7afd6094398761.png](https://i-blog.csdnimg.cn/blog_migrate/cb6983e711838fce117b9d2ddfea62a2.jpeg)
![8e8d663555d89e0f8c7438ec46ec56a1.png](https://i-blog.csdnimg.cn/blog_migrate/8276026cc42ab56492a87d60d97f0431.jpeg)
存储型:
![c1fa21717b3f624736a64237abe9f40e.png](https://i-blog.csdnimg.cn/blog_migrate/241c5d9b441f3e63a663d232c5504fb9.jpeg)
![43d5022352c56298f54b4904a3853b49.png](https://i-blog.csdnimg.cn/blog_migrate/43ae6a2e82a17a7f8cc76dcfe57edee1.jpeg)
防护后:
反映型,未执行:
![509d203ce4ede35ae8999d970bc11bf4.png](https://i-blog.csdnimg.cn/blog_migrate/70a65b18e75ccfcadc3fd96dca34bd42.jpeg)
存储型,未执行:
![0560b9ffe46ae44675724775c6bff51d.png](https://i-blog.csdnimg.cn/blog_migrate/ae1c9a9fa47d4602364cba92b2c684c8.jpeg)
命令行注入防护
防护前:
![89955dc1d8efa0c439495fcbbba94bb6.png](https://i-blog.csdnimg.cn/blog_migrate/b125446e8442832f29f09559f6cbf169.jpeg)
![8d2521ba3e78bfedcd6546e1db2253ea.png](https://i-blog.csdnimg.cn/blog_migrate/d2c5b3a869f3fdba3a496c61e7e03efe.jpeg)
注:出现了乱码,不过能看出是返回了执行结果:)
防护后,无返回内容:
![4da38a0f6db34f830af105fb3b4639bc.png](https://i-blog.csdnimg.cn/blog_migrate/e7abbbee35f9cc89dc1f48fd5a648765.jpeg)
后台拦截记录:
![5fed2ab7ca7f072c58f3bb836732d492.png](https://i-blog.csdnimg.cn/blog_migrate/f6f0e67218ee971c48a7f9cf372b9953.jpeg)
文件上传防护
防护前:
![212cc313e99f8eef47b7a0197c93959c.png](https://i-blog.csdnimg.cn/blog_migrate/38172d064c974d5a7bc0ec59176d992c.jpeg)
防护后:
![9d50d5eb8612f56247ec01198af623d5.png](https://i-blog.csdnimg.cn/blog_migrate/0bb4ab1aa89c1a8392ed867dd8870e9e.jpeg)
CSRF防护
防护前:
![1773f105e91a5b87174c6c6abdbbebbf.png](https://i-blog.csdnimg.cn/blog_migrate/94e93e95bec5cada7823e499c315496c.jpeg)
ShareWAF后台开启“防CSRF”:
![01123f1e29e32fe34a2d7ff62977bde2.png](https://i-blog.csdnimg.cn/blog_migrate/1ac5d81ec97a3dc4448145727c9ec288.jpeg)
防护后:
![520b68449f14df1c1741fa00ef5d583e.png](https://i-blog.csdnimg.cn/blog_migrate/5495d7ca7e6e9fa518f37618131dec43.jpeg)
此外,暴力破解防护,可以使用ShareWAF的变形元素功能,也可使用风控规则限制;
WeakSessionIDS防护、FileInclusion防护等,都同理可进行防护前和防护后的效果对比。
这些,只是ShareWAF的常规防护功能。
ShareWAF的强大功能,如:JS混淆加密、网页源码加密、网页防篡改、反爬虫、前端WAF、反扫描、自定编程防护、大数据防护等并不能通过DVWA进行测试,DVWA不具备测试条件。
如要详细了解,请参考ShareWAF相关文档介绍进行功能实际使用、查看相关的防护效果。
总而言之,ShareWAF有传统防护功能,更有众多创新、实用功能,是一款具备足够先进性的新一代WAF!保护网站安全的新一代神器。