关于开源安全产品的使用测试雷池WAF测试

本地格物资产探测平台环境192.168.xx

SafeLine 是一种自托管的 WAF（Web 应用程序防火墙），可保护您的 Web 应用程序免受攻击和漏洞利用。

Web 应用程序防火墙通过筛选和监控 Web 应用程序与 Internet 之间的 HTTP 流量来帮助保护 Web 应用程序。它通常保护 Web 应用程序免受攻击，例如 、 、 、 等。SQL injectionXSScode injectionos command injectionCRLF injectionldap injectionxpath injectionRCEXXESSRFpath traversalbackdoorbruteforcehttp-floodbot abused

通过在 Web 应用程序前面部署 WAF，可以在 Web 应用程序和 Internet 之间放置一个盾牌。代理服务器使用中介保护客户端计算机的身份，而 WAF 是一种反向代理，通过让客户端在到达服务器之前通过 WAF 来保护服务器免受暴露。

WAF 通过过滤、监控和阻止任何流向 Web 应用程序的恶意 HTTP/S 流量来保护您的 Web 应用程序，并防止任何未经授权的数据离开应用程序。它通过遵守一组策略来实现这一点，这些策略有助于确定哪些流量是恶意的，哪些流量是安全的。正如代理服务器充当保护客户端身份的中介一样，WAF 以类似的方式运行，但充当反向代理中介，保护 Web 应用程序服务器免受潜在恶意客户端的侵害。

其核心功能包括：

• Web 攻击防御

• 主动的 Bot 滥用防御

• HTML & JS 代码加密

• 基于 IP 的速率限制

• Web 访问控制列表

部署（默认一键安装即可）

详细安装步骤参见

团队/个人使用的waf关注点在于防止DDOS攻击、爬虫、SQL注入、XSS攻击等等

专业简介的前端UI界面

为应用部署代理节点

格物前后端代理配置完成

用192.168.xx成功部署到了雷池waf  172.25xx  上，并成功反向代理

这里看到就成功完成代理配置了，访问网站的流量全部经过waf处理，这也是主流的waf防护技术，利用nginx反向代理，将网站代理到waf的某个端口上，由waf引擎将处理后的数据报文转发给应用系统

测试waf防护能力

使用团队修改版的fscan对网站进行扫描

后端发现大量的异常攻击流量，都是fscan的webscan模块发起的POC探测

统计接受到的攻击流量数量，一共约600条

接下来测试雷池waf的抗DOS能力，为了直观设置每分钟5次以上的请求默认封禁，实际业务场景中按需调整

再次使用团队修改版fscan对业务代理端口99,100进行扫描测试

测后端流量情况

统计发现后端接收了一百余条攻击报文，即触发了waf拦截

waf防护日志中进行攻击检测查看，实际攻击次数并非达到五次即直接封禁的原因，可能和并发处理有关，即达到五次数后修改内存或者数据库相关的键值的少量时间间隔中，过程中的攻击包文仍然计数和进行常规安全监测。

waf检测到了攻击行为和大频率访问

此时使用网页访问后端，进入waf封禁页面

由此，雷池waf可以有效防护来自过量请求频率的DOS攻击。

这个效果相对比较理想，测试完毕后将雷池waf调整回了适用于格物的频率

频率设置完成后，就可以愉快的挖洞啦

另外进行了一些常规的测试

sql注入

/SQLI/jdbc?id=1'and%201=1--
/SQLI/jdbc?id=1'and(sleep(ascii(mid(database()from(1)for(1)))=109))%23

包括一些传统的、公开的sql绕过语句，都可以有效拦截

/SQLI/jdbc?id=1%27/**/and/**/1=1--+
/SQLI/jdbc?id=1'%20REGEXP%20"[&%0a%23]"%20/*!11444union%20%0a%20select*/%201,2,3%20--+
/SQLI/jdbc?id=1%27UnIoN/**/SeLeCT******
/SQLI/jdbc?id=1'/*!UnIoN*/ SeLeCT 1,2,concat(/*!table_name*/) FrOM /*information_schema*/.tables /*!WHERE *//*!TaBlE_ScHeMa*/ like database()--+

这里应用系统不太需要sql注入类的防范，仅对sql注入防范效果进行了简单测试

测试结束后，waf数据统计面板统计出了当前测试时间内请求数量和拦截数量，总的来说适用于小基数用户系统系统防护。