![11a0235a4e653393677f16f4911dc3f4.png](https://img-blog.csdnimg.cn/img_convert/11a0235a4e653393677f16f4911dc3f4.png)
本文将用DVWA搭建测试环境,测试ShareWAF对OWASP常见威胁的防护能力。
如您是ShareWAF的使用者,从中可学习到相关防护的使用方法,也可了解到相应的防护效果。
![082cdbdb89d3d2f98e354b6773dc9289.png](https://img-blog.csdnimg.cn/img_convert/082cdbdb89d3d2f98e354b6773dc9289.png)
一、DVWA测试环境搭建
web环境准备,使用phpstudy:
![11d8c05bec88c286b8c460dc4d3df967.png](https://img-blog.csdnimg.cn/img_convert/11d8c05bec88c286b8c460dc4d3df967.png)
从dvwa官网,下载dvwa源码:
![33b69ec6caec6c05f9cec372bd8fa258.png](https://img-blog.csdnimg.cn/img_convert/33b69ec6caec6c05f9cec372bd8fa258.png)
下载后,解压到phpstudy的www目录中:
![87b000fced4917101f70f29d1b7aa11d.png](https://img-blog.csdnimg.cn/img_convert/87b000fced4917101f70f29d1b7aa11d.png)
打开config目,修改config.inc.php.dist为config.inc.php:
![284c34a73ffbc61de98d989f4e068bfb.png](https://img-blog.csdnimg.cn/img_convert/284c34a73ffbc61de98d989f4e068bfb.png)
同时在phpstudy中创建与config.inc.php中一致的数据库:
![48f8bed95d5ca3d0015129f3e1634a60.png](https://img-blog.csdnimg.cn/img_convert/48f8bed95d5ca3d0015129f3e1634a60.png)
启动apache和mysql:
![20b4989079bab02da4b0cd49d4aeabc5.png](https://img-blog.csdnimg.cn/img_convert/20b4989079bab02da4b0cd49d4aeabc5.png)
初次访问,安装dvwa:
![f890bf0a9320189506a5dd33745178b4.png](https://img-blog.csdnimg.cn/img_convert/f890bf0a9320189506a5dd33745178b4.png)
执行最下方的“Create/Reset Database"。之后dvwa数据库创建成功,并会跳转到登录页。
![11210000f773fe47e8aeb329e4ddc9dc.png](https://img-blog.csdnimg.cn/img_convert/11210000f773fe47e8aeb329e4ddc9dc.png)
dvwa测试环境已准备好。
二、ShareWAF部署
从ShareWAF官网下载ShareWAF最新版:
![2a5d0aa299228c55077b791075d5ffbd.png](https://img-blog.csdnimg.cn/img_convert/2a5d0aa299228c55077b791075d5ffbd.png)
解压:
![7160272dcd3d204760316a3baf695ad9.png](https://img-blog.csdnimg.cn/img_convert/7160272dcd3d204760316a3baf695ad9.png)
命令行中,安装依赖:
注:需要先安装好NodeJS,此过程略。
![96df53bb4d18502bfd62c729d6bf8900.png](https://img-blog.csdnimg.cn/img_convert/96df53bb4d18502bfd62c729d6bf8900.png)
安装非常快,如下图,安装过程:66秒。然后启动ShareWAF:
![939173951b6ff83d546d401efe6d9014.png](https://img-blog.csdnimg.cn/img_convert/939173951b6ff83d546d401efe6d9014.png)
进入ShareWAF管理员后台,添加测试域名。
注:管理员后台,非域名后台。管理员后台用于添加域名等,域名后台用于配置保护选项。
![1c44dac0fc6a685e638e1b05a17da5dc.png](https://img-blog.csdnimg.cn/img_convert/1c44dac0fc6a685e638e1b05a17da5dc.png)
注意保护目标,使用的是81端口,因为要给SharWAF使用80端口,所以事先需在phpstudy中修改web端口为81:
![8bbb800527cd7bcd6f77aeba6df02aeb.png](https://img-blog.csdnimg.cn/img_convert/8bbb800527cd7bcd6f77aeba6df02aeb.png)
由于是内网测试,所以需要修改hosts,做本地域名解析:
使用的测试域名是:http://www.dvwa.com
![e924531889c15d21b208b9e5216a7c09.png](https://img-blog.csdnimg.cn/img_convert/e924531889c15d21b208b9e5216a7c09.png)
访问:
![f8e3ddb5c7710f49c24c68f6474afaa3.png](https://img-blog.csdnimg.cn/img_convert/f8e3ddb5c7710f49c24c68f6474afaa3.png)
看页面中出现了ShareWAF图标,可知已在ShareWAF保护之下。
注:ShareWAF免费使用时有此图标,授权后没有。
接下来就可以进行防护测试了。
三、防护测试
登录DVWA:
![cc7fb16c4c18cb57953325449023f38e.png](https://img-blog.csdnimg.cn/img_convert/cc7fb16c4c18cb57953325449023f38e.png)
SQL注入防护
防护前:
![4cc3b7f6a5b4b350b95fc8aa65dfbc9c.png](https://img-blog.csdnimg.cn/img_convert/4cc3b7f6a5b4b350b95fc8aa65dfbc9c.png)
ShareWAF有多重防护,这是前端WAF的防护效果。
可将其关闭,以测试其它防护引擎的防护效果:
![7d400ef85c9a17376fdabfd7cfbd061f.png](https://img-blog.csdnimg.cn/img_convert/7d400ef85c9a17376fdabfd7cfbd061f.png)
如要测试内核防护效果,先需配入防护规则:
![950d1f331b0d121b4e6928453300b32b.png](https://img-blog.csdnimg.cn/img_convert/950d1f331b0d121b4e6928453300b32b.png)
注:上图规则为示例。
输入测试指令:
![a00effc0c0bebdfe858493dec5e0cf01.png](https://img-blog.csdnimg.cn/img_convert/a00effc0c0bebdfe858493dec5e0cf01.png)
防护前:
![ac81f32d2e3914cc3440ded0f036a6c0.png](https://img-blog.csdnimg.cn/img_convert/ac81f32d2e3914cc3440ded0f036a6c0.png)
防护后,被拦截:
![9f1ddb7be0db4e512d0b2ecb1081020a.png](https://img-blog.csdnimg.cn/img_convert/9f1ddb7be0db4e512d0b2ecb1081020a.png)
ShareWAF命令行后台,也会看到相关调试信息:
![436d0c0052021f8ae216fd0260757b73.png](https://img-blog.csdnimg.cn/img_convert/436d0c0052021f8ae216fd0260757b73.png)
注:拦截时,除前端WAF外,都会在ShareWAF后台有相应的审核日志信息。
XSS防护
防护前:
反射型:
![76510c0579677f856e65473dd3d53ad2.png](https://img-blog.csdnimg.cn/img_convert/76510c0579677f856e65473dd3d53ad2.png)
![f31411fa115afabcedc357cf41c836b1.png](https://img-blog.csdnimg.cn/img_convert/f31411fa115afabcedc357cf41c836b1.png)
存储型:
![21e9e26dd3c4f05b3b27993b8d2646d8.png](https://img-blog.csdnimg.cn/img_convert/21e9e26dd3c4f05b3b27993b8d2646d8.png)
![258e6d9828251bed0e1459a8a5ff0e1d.png](https://img-blog.csdnimg.cn/img_convert/258e6d9828251bed0e1459a8a5ff0e1d.png)
防护后:
反映型,未执行:
![32035051b0fea1cfca46eebc236d8b18.png](https://img-blog.csdnimg.cn/img_convert/32035051b0fea1cfca46eebc236d8b18.png)
存储型,未执行:
![f28ff1680430b32731b6a5dbdd5d184a.png](https://img-blog.csdnimg.cn/img_convert/f28ff1680430b32731b6a5dbdd5d184a.png)
命令行注入防护
防护前:
![92bfb546e8ceeda3ed6eabcb22262b9b.png](https://img-blog.csdnimg.cn/img_convert/92bfb546e8ceeda3ed6eabcb22262b9b.png)
![63f92d94fb0caec867bcebc23a1abe7c.png](https://img-blog.csdnimg.cn/img_convert/63f92d94fb0caec867bcebc23a1abe7c.png)
注:出现了乱码,不过能看出是返回了执行结果:)
防护后,无返回内容:
![62a5a0b62c0f4c9d56905bd150a3b1da.png](https://img-blog.csdnimg.cn/img_convert/62a5a0b62c0f4c9d56905bd150a3b1da.png)
后台拦截记录:
![a16562bc7d871cbd0ab4d1c02c0b5d37.png](https://img-blog.csdnimg.cn/img_convert/a16562bc7d871cbd0ab4d1c02c0b5d37.png)
文件上传防护
防护前:
![d3fe933d54f9e46eb6571a2c7c0591f1.png](https://img-blog.csdnimg.cn/img_convert/d3fe933d54f9e46eb6571a2c7c0591f1.png)
防护后:
![982a50a4950b5b8a77101a0070f8bec9.png](https://img-blog.csdnimg.cn/img_convert/982a50a4950b5b8a77101a0070f8bec9.png)
CSRF防护
防护前:
![3337f3828988ce81352dff32e32749ac.png](https://img-blog.csdnimg.cn/img_convert/3337f3828988ce81352dff32e32749ac.png)
ShareWAF后台开启“防CSRF”:
![2ed31e46977acfa4d78d677adb059d2f.png](https://img-blog.csdnimg.cn/img_convert/2ed31e46977acfa4d78d677adb059d2f.png)
防护后:
![9df2dcd0d15723a99c4e7f142cde79cf.png](https://img-blog.csdnimg.cn/img_convert/9df2dcd0d15723a99c4e7f142cde79cf.png)
此外,暴力破解防护,可以使用ShareWAF的变形元素功能,也可使用风控规则限制;
WeakSessionIDS防护、FileInclusion防护等,都同理可进行防护前和防护后的效果对比。
这些,只是ShareWAF的常规防护功能。
ShareWAF的强大功能,如:JS混淆加密、网页源码加密、网页防篡改、反爬虫、前端WAF、反扫描、自定编程防护、大数据防护等并不能通过DVWA进行测试,DVWA不具备测试条件。
如要详细了解,请参考ShareWAF相关文档介绍进行功能实际使用、查看相关的防护效果。
总而言之,ShareWAF有传统防护功能,更有众多创新、实用功能,是一款具备足够先进性的新一代WAF!保护网站安全的新一代神器。