本文将用DVWA搭建测试环境,测试ShareWAF对OWASP常见威胁的防护能力。
如您是ShareWAF的使用者,从中可学习到相关防护的使用方法,也可了解到相应的防护效果。
一、DVWA测试环境搭建
web环境准备,使用phpstudy:
从dvwa官网,下载dvwa源码:
下载后,解压到phpstudy的www目录中:
打开config目,修改config.inc.php.dist为config.inc.php:
同时在phpstudy中创建与config.inc.php中一致的数据库:
启动apache和mysql:
初次访问,安装dvwa:
执行最下方的“Create/Reset Database"。之后dvwa数据库创建成功,并会跳转到登录页。
dvwa测试环境已准备好。
二、ShareWAF部署
从ShareWAF官网下载ShareWAF最新版:
解压:
命令行中,安装依赖:
注:需要先安装好NodeJS,此过程略。
安装非常快,如下图,安装过程:66秒。然后启动ShareWAF:
进入ShareWAF管理员后台,添加测试域名。
注:管理员后台,非域名后台。管理员后台用于添加域名等,域名后台用于配置保护选项。
注意保护目标,使用的是81端口,因为要给SharWAF使用80端口,所以事先需在phpstudy中修改web端口为81:
由于是内网测试,所以需要修改hosts,做本地域名解析:
使用的测试域名是:http://www.dvwa.com
访问:
看页面中出现了ShareWAF图标,可知已在ShareWAF保护之下。
注:ShareWAF免费使用时有此图标,授权后没有。
接下来就可以进行防护测试了。
三、防护测试
登录DVWA:
SQL注入防护
防护前:
ShareWAF有多重防护,这是前端WAF的防护效果。
可将其关闭,以测试其它防护引擎的防护效果:
如要测试内核防护效果,先需配入防护规则:
注:上图规则为示例。
输入测试指令:
防护前:
防护后,被拦截:
ShareWAF命令行后台,也会看到相关调试信息:
注:拦截时,除前端WAF外,都会在ShareWAF后台有相应的审核日志信息。
XSS防护
防护前:
反射型:
存储型:
防护后:
反映型,未执行:
存储型,未执行:
命令行注入防护
防护前:
注:出现了乱码,不过能看出是返回了执行结果:)
防护后,无返回内容:
后台拦截记录:
文件上传防护
防护前:
防护后:
CSRF防护
防护前:
ShareWAF后台开启“防CSRF”:
防护后:
此外,暴力破解防护,可以使用ShareWAF的变形元素功能,也可使用风控规则限制;
WeakSessionIDS防护、FileInclusion防护等,都同理可进行防护前和防护后的效果对比。
这些,只是ShareWAF的常规防护功能。
ShareWAF的强大功能,如:JS混淆加密、网页源码加密、网页防篡改、反爬虫、前端WAF、反扫描、自定编程防护、大数据防护等并不能通过DVWA进行测试,DVWA不具备测试条件。
如要详细了解,请参考ShareWAF相关文档介绍进行功能实际使用、查看相关的防护效果。
总而言之,ShareWAF有传统防护功能,更有众多创新、实用功能,是一款具备足够先进性的新一代WAF!保护网站安全的新一代神器。
382
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
