域名|用DVWA实测ShareWAF防护能力。
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
如您是ShareWAF的使用者 , 从中可学习到相关防护的使用方法 , 也可了解到相应的防护效果 。
一、DVWA测试环境搭建web环境准备 , 使用phpstudy:
从dvwa官网 , 下载dvwa源码:
下载后 , 解压到phpstudy的www目录中:
打开config目 , 修改config.inc.php.dist为config.inc.php:
同时在phpstudy中创建与config.inc.php中一致的数据库:
启动apache和mysql:
初次访问 , 安装dvwa:
执行最下方的“Create/Reset Database\" 。 之后dvwa数据库创建成功 , 并会跳转到登录页 。
dvwa测试环境已准备好 。
二、ShareWAF部署从ShareWAF官网下载ShareWAF最新版:
解压:
命令行中 , 安装依赖:
注:需要先安装好NodeJS , 此过程略 。
安装非常快 , 如下图 , 安装过程:66秒 。 然后启动ShareWAF:
进入ShareWAF管理员后台 , 添加测试域名 。
注:管理员后台 , 非域名后台 。 管理员后台用于添加域名等 , 域名后台用于配置保护选项 。
注意保护目标 , 使用的是81端口 , 因为要给SharWAF使用80端口 , 所以事先需在phpstudy中修改web端口为81:
由于是内网测试 , 所以需要修改hosts , 做本地域名解析:
使用的测试域名是:www.dvwa.com
访问:
看页面中出现了ShareWAF图标 , 可知已在ShareWAF保护之下 。
注:ShareWAF免费使用时有此图标 , 授权后没有 。
接下来就可以进行防护测试了 。
三、防护测试登录DVWA:
SQL注入防护
防护前:
ShareWAF有多重防护 , 这是前端WAF的防护效果 。
可将其关闭 , 以测试其它防护引擎的防护效果:
如要测试内核防护效果 , 先需配入防护规则:
注:上图规则为示例 。
输入测试指令:
防护前:
防护后 , 被拦截:
ShareWAF命令行后台 , 也会看到相关调试信息:
注:拦截时 , 除前端WAF外 , 都会在ShareWAF后台有相应的审核日志信息 。
XSS防护
防护前:
反射型:
存储型:
防护后:
反映型 , 未执行:
存储型 , 未执行:
命令行注入防护
防护前:
注:出现了乱码 , 不过能看出是返回了执行结果:)
防护后 , 无返回内容:
后台拦截记录:
文件上传防护
防护前:
防护后:
CSRF防护
防护前:
ShareWAF后台开启“防CSRF”:
防护后:
此外 , 暴力破解防护 , 可以使用ShareWAF的变形元素功能 , 也可使用风控规则限制;
WeakSessionIDS防护、FileInclusion防护等 , 都同理可进行防护前和防护后的效果对比 。
这些 , 只是ShareWAF的常规防护功能 。
ShareWAF的强大功能 , 如:JS混淆加密、网页源码加密、网页防篡改、反爬虫、前端WAF、反扫描、自定编程防护、大数据防护等并不能通过DVWA进行测试 , DVWA不具备测试条件 。
如要详细了解 , 请参考ShareWAF相关文档介绍进行功能实际使用、查看相关的防护效果 。
【域名|用DVWA实测ShareWAF防护能力。】总而言之 , ShareWAF有传统防护功能 , 更有众多创新、实用功能 , 是一款具备足够先进性的新一代WAF!保护网站安全的新一代神器 。
推荐阅读
- SUV|美国再拉黑38家华为子公司!升级打压华为获取商用芯片
- 科学探索|新技术能快速将海水变成饮用水
- 最强蜗牛8月可用密令全攻略
- 印度_社会|母亲拒绝给4.6元买毒品,男子竟塞住她嘴巴用铁棍将其活活打死
- 星车记|汽车新政策,车主终于不用担心这个问题了,快去排队检车
- 青岛自驾游车友会|热死了,车子的空调怎么用?老司机:空调用不对,油耗高一倍
- 补水眼霜哪个牌子好用 十大口碑好的补水保湿眼霜推荐
- 氨基酸洗面奶哪个牌子好 真正好用的十大氨基酸洗面奶排行
- 温和型的护肤品有哪些 盘点好用的敏感肌温和型护肤品牌
- 瞭望塔|比歼-10还难卖的军用战机?“飞豹”战斗轰炸机,愿意买的没几个