关于开源安全产物的使用测试--雷池WAF测试
原创 :白马非马 、公众号 :极梦C迩来预备在互联网完全化的部署格物资产探测平台,在安全防护上做了一些学习研究,在互联网上找了一些开源或免费的web防火墙进行测试,发现雷池用起来比较舒服,下面是关于雷池的测试纪录。
https://i-blog.csdnimg.cn/img_convert/0ebe463426d9c2672ab46d09a77e3166.png
本地格物资产探测平台环境192.168.xx
雷池WAF简介
SafeLine 是一种自托管的 WAF(Web 应用程序防火墙),可保护您的 Web 应用程序免受攻击和漏洞利用。
Web 应用程序防火墙通过筛选和监控 Web 应用程序与 Internet 之间的 HTTP 流量来帮助保护 Web 应用程序。它通常保护 Web 应用程序免受攻击。
https://i-blog.csdnimg.cn/img_convert/1876b1f8c041cb1b1fc04c48c782dcb7.png
通过在 Web 应用程序前面部署 WAF,可以在 Web 应用程序和 Internet 之间放置一个盾牌。代理服务器使用中介保护客户端盘算机的身份,而 WAF 是一种反向代理,通过让客户端在到达服务器之前通过 WAF 来保护服务器免受暴露。
WAF 通过过滤、监控和阻止任何流向 Web 应用程序的恶意 HTTP/S 流量来保护您的 Web 应用程序,并防止任何未经授权的数据脱离应用程序。它通过遵守一组策略来实现这一点,这些策略有助于确定哪些流量是恶意的,哪些流量是安全的。正如代理服务器充当保护客户端身份的中介一样,WAF 以类似的方式运行,但充当反向代理中介,保护 Web 应用程序服务器免受潜在恶意客户端的侵害。
其核心功能包括:
[*] Web 攻击防御
[*] 主动的 Bot 滥用防御
[*] HTML & JS 代码加密
[*] 基于 IP 的速率限定
[*] Web 访问控制列表
WAF部署
部署(默认一键安装即可)
详细安装步骤参见
https://mp.weixin.qq.com/s/YQcd0zhVNBE9-O4AuBz-ZQ
团队/个人使用的waf关注点在于防止DDOS攻击、爬虫、SQL注入、XSS攻击等等
专业简介的前端UI界面
https://i-blog.csdnimg.cn/img_convert/22fd2a7cacacec02dcdd78f6c75ea8a4.png
为应用部署代理节点
https://i-blog.csdnimg.cn/img_convert/cac8f46a199bd7c098a022f871d12757.png
格物前后端代理配置完成
https://i-blog.csdnimg.cn/img_convert/e4a860d441ed9d3d37d3a76a7d44f56a.png
用192.168.xx成功部署到了雷池waf 172.25xx 上,并成功反向代理
https://i-blog.csdnimg.cn/img_convert/6a52b53cc0a041eb35aff2cabc420005.png
这里看到就成功完成代理配置了,访问网站的流量全部颠末waf处置惩罚,这也是主流的waf防护技能,利用nginx反向代理,将网站代理到waf的某个端口上,由waf引擎将处置惩罚后的数据报文转发给应用系统
WAF防护能力测试
测试waf防护能力
使用团队修改版的fscan对网站进行扫描
https://i-blog.csdnimg.cn/img_convert/b4ea3215dc908796b5b3c8b0fd7f1c0d.png
后端发现大量的异常攻击流量,都是fscan的webscan模块发起的POC探测
https://i-blog.csdnimg.cn/img_convert/cc5b1b2a1490ef23e7ddb6cdeb83552d.png
统计接受到的攻击流量数量,一共约600条
https://i-blog.csdnimg.cn/img_convert/1c042da9cc2d01bf7f5741a1273c1db1.png
接下来测试雷池waf的抗DOS能力,为了直观设置每分钟5次以上的哀求默认封禁,现实业务场景中按需调整
https://i-blog.csdnimg.cn/img_convert/57a2ef6f749a25e458f30554dffde9e3.png
再次使用团队修改版fscan对业务代理端口99,100进行扫描测试
https://i-blog.csdnimg.cn/img_convert/267e42bd74bb937ae92926871cf3e715.png
测后端流量情况
https://i-blog.csdnimg.cn/img_convert/adcf737067b3410425862b8dbe0c1386.png
统计发现后端吸取了一百余条攻击报文,即触发了waf拦截
https://i-blog.csdnimg.cn/img_convert/b4da9551898078817ef0821dfc5101d4.png
waf防护日志中进行攻击检测查看,现实攻击次数并非达到五次即直接封禁的原因,可能和并发处置惩罚有关,即达到五次数后修改内存或者数据库相关的键值的少量时间隔断中,过程中的攻击包文仍然计数和进行通例安全监测。
https://i-blog.csdnimg.cn/img_convert/3baeafccd529369f826708a650af58d3.jpeg
waf检测到了攻击举动和大频率访问
https://i-blog.csdnimg.cn/img_convert/f7ef04e46ad03e85d149e4ec812cbc78.png
此时使用网页访问后端,进入waf封禁页面
https://i-blog.csdnimg.cn/img_convert/832026ce83ad48dfe55667b3b6ecef7f.png
由此,雷池waf可以有效防护来自过量哀求频率的DOS攻击。
这个效果相对比较抱负,测试完毕后将雷池waf调整回了实用于格物的频率
https://i-blog.csdnimg.cn/img_convert/813654faa396687b17e3e04de24a9fa9.jpeg
频率设置完成后,就可以愉快的挖洞啦
https://i-blog.csdnimg.cn/img_convert/28b342939530a303b6ca744583f7465c.png
另外进行了一些通例的测试
sql注入
/SQLI/jdbc?id=1'and%201=1--
/SQLI/jdbc?id=1'and(sleep(ascii(mid(database()from(1)for(1)))=109))%23
https://i-blog.csdnimg.cn/img_convert/3d422b2cf8c09286b593588735cccfc6.png
包括一些传统的、公开的sql绕过语句,都可以有效拦截
/SQLI/jdbc?id=1%27/**/and/**/1=1--+
/SQLI/jdbc?id=1'%20REGEXP%20"[&%0a%23]"%20/*!11444union%20%0a%20select*/%201,2,3%20--+
/SQLI/jdbc?id=1%27UnIoN/**/SeLeCT******
/SQLI/jdbc?id=1'/*!UnIoN*/ SeLeCT 1,2,concat(/*!table_name*/) FrOM /*information_schema*/.tables /*!WHERE *//*!TaBlE_ScHeMa*/ like database()--+
这里应用系统不太必要sql注入类的防范,仅对sql注入防范效果进行了简单测试
测试结束后,waf数据统计面板统计出了当前测试时间内哀求数量和拦截数量,总的来说实用于小基数用户系统系统防护。
https://i-blog.csdnimg.cn/img_convert/e5dbd902c37187ee381fa5df83274dda.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]