原创 :白马非马 、公众号 :极梦C
迩来预备在互联网完全化的部署格物资产探测平台,在安全防护上做了一些学习研究,在互联网上找了一些开源或免费的web防火墙进行测试,发现雷池用起来比较舒服,下面是关于雷池的测试纪录。
本地格物资产探测平台环境192.168.xx
雷池WAF简介
SafeLine 是一种自托管的 WAF(Web 应用程序防火墙),可保护您的 Web 应用程序免受攻击和漏洞利用。
Web 应用程序防火墙通过筛选和监控 Web 应用程序与 Internet 之间的 HTTP 流量来帮助保护 Web 应用程序。它通常保护 Web 应用程序免受攻击。
通过在 Web 应用程序前面部署 WAF,可以在 Web 应用程序和 Internet 之间放置一个盾牌。代理服务器使用中介保护客户端盘算机的身份,而 WAF 是一种反向代理,通过让客户端在到达服务器之前通过 WAF 来保护服务器免受暴露。
WAF 通过过滤、监控和阻止任何流向 Web 应用程序的恶意 HTTP/S 流量来保护您的 Web 应用程序,并防止任何未经授权的数据脱离应用程序。它通过遵守一组策略来实现这一点,这些策略有助于确定哪些流量是恶意的,哪些流量是安全的。正如代理服务器充当保护客户端身份的中介一样,WAF 以类似的方式运行,但充当反向代理中介,保护 Web 应用程序服务器免受潜在恶意客户端的侵害。
其核心功能包括:
- Web 攻击防御
- 主动的 Bot 滥用防御
- HTML & JS 代码加密
- 基于 IP 的速率限定
- Web 访问控制列表
WAF部署
部署(默认一键安装即可)
详细安装步骤参见
https://mp.weixin.qq.com/s/YQcd0zhVNBE9-O4AuBz-ZQ
团队/个人使用的waf关注点在于防止DDOS攻击、爬虫、SQL注入、XSS攻击等等
专业简介的前端UI界面
为应用部署代理节点
格物前后端代理配置完成
用192.168.xx成功部署到了雷池waf 172.25xx 上,并成功反向代理
这里看到就成功完成代理配置了,访问网站的流量全部颠末waf处置惩罚,这也是主流的waf防护技能,利用nginx反向代理,将网站代理到waf的某个端口上,由waf引擎将处置惩罚后的数据报文转发给应用系统
WAF防护能力测试
测试waf防护能力
使用团队修改版的fscan对网站进行扫描
后端发现大量的异常攻击流量,都是fscan的webscan模块发起的POC探测
统计接受到的攻击流量数量,一共约600条
接下来测试雷池waf的抗DOS能力,为了直观设置每分钟5次以上的哀求默认封禁,现实业务场景中按需调整
再次使用团队修改版fscan对业务代理端口99,100进行扫描测试
测后端流量情况
统计发现后端吸取了一百余条攻击报文,即触发了waf拦截
waf防护日志中进行攻击检测查看,现实攻击次数并非达到五次即直接封禁的原因,可能和并发处置惩罚有关,即达到五次数后修改内存或者数据库相关的键值的少量时间隔断中,过程中的攻击包文仍然计数和进行通例安全监测。
waf检测到了攻击举动和大频率访问
此时使用网页访问后端,进入waf封禁页面
由此,雷池waf可以有效防护来自过量哀求频率的DOS攻击。
这个效果相对比较抱负,测试完毕后将雷池waf调整回了实用于格物的频率
频率设置完成后,就可以愉快的挖洞啦
另外进行了一些通例的测试
sql注入
- /SQLI/jdbc?id=1'and%201=1--
- /SQLI/jdbc?id=1'and(sleep(ascii(mid(database()from(1)for(1)))=109))%23
包括一些传统的、公开的sql绕过语句,都可以有效拦截
- /SQLI/jdbc?id=1%27/**/and/**/1=1--+
- /SQLI/jdbc?id=1'%20REGEXP%20"[&%0a%23]"%20/*!11444union%20%0a%20select*/%201,2,3%20--+
- /SQLI/jdbc?id=1%27UnIoN/**/SeLeCT******
- /SQLI/jdbc?id=1'/*!UnIoN*/ SeLeCT 1,2,concat(/*!table_name*/) FrOM /*information_schema*/.tables /*!WHERE *//*!TaBlE_ScHeMa*/ like database()--+
测试结束后,waf数据统计面板统计出了当前测试时间内哀求数量和拦截数量,总的来说实用于小基数用户系统系统防护。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
