登录 注册 遭到攻击?
  • 首页
  • >
  • 帮助文档
  • >
  • GOODWAF防护效果:防自动化攻击:暴力破解、批量注册

GOODWAF防护效果:防自动化攻击:暴力破解、批量注册

  • 2020-02-26 13:45:05
  • 浏览 1002

       DVWA是常用的WAF功能测试工具,本篇用DVWA测试GOODWAF对暴力破解、撞库、批量注册,自动发贴等攻击的防护能力。


       本篇,来测试防暴力破解、撞库、批量注册、自动发贴功能,鉴于篇幅,用防暴力破解为例。

       PS:这是个重量级的测试,因为自动化攻击在近年来的攻击总量中,占到了惊人的80%以上,是最常见攻击,实际攻击量比SQL注入、XSS要高很多。暴力破解、撞库、批量注册、自动发贴都属于自动化攻击。


       测试,用dvwa的登录页面为例:


        先挖个坑,上两张图:


        防护前:

WAF,防暴力破解、撞库、批量注册、自动发贴等自动化攻击。



       防护后:

WAF,防暴力破解、撞库、批量注册、自动发贴等自动化攻击。




       仔细观查他们的不同的处。这是GOODWAF能防护自动化攻击的主要原因。看到,并理解他们的不同了吗?我们先测效果,最后再揭谜底。


       测试过程:


       用burp抓包,并发至intrder功能,



WAF,防暴力破解、撞库、批量注册、自动发贴等自动化攻击。



        配置好后,然后发起攻击:

WAF,防暴力破解、撞库、批量注册、自动发贴等自动化攻击。



WAF,防暴力破解、撞库、批量注册、自动发贴等自动化攻击。



WAF,防暴力破解、撞库、批量注册、自动发贴等自动化攻击。


          注意:password在这里是正确的密码,但是此时burp没有攻击成功,没有成功登录。


         返回数据:


WAF,防暴力破解、撞库、批量注册、自动发贴等自动化攻击。

       成功防护暴力破解。

       迷底,为什么能防护:

       GOODWAF将关键html元素:用户名,进行了加密。从最开始的两图中可以看到,原本是username,变成了乱码字符(当然,GOODWAF会在发往被保护的服务器时,将其还原)。而在burp发起的枚举攻击中(intrder),依然用的是原始的username,当然无法形成有效的攻击。

        那么,假如burp,重新获取登录数据,获取到了那个加密的乱码,并进行暴力枚举,不是就可以了吗? 答案是:NO。GOODWAF形成的加密字符,并非一成不变的,而是会动态变化!总不能,每一次都手动拦截修改吧。当然不能了。

SO,这种防护方式相当强大,强大到可以抵挡几乎所有暴力破解、撞库、批量注册、自动发贴等自动化攻击!

亿林网络SHAREWAF共同研发 黑icp备案B1.B2-20080981-75 黑公网安备 23011002000409号 keywords:云WAF 云WAF

攻击防护热线

您的隐私对我们很重要。