DVWA是常用的WAF功能测试工具,本篇用DVWA测试GOODWAF对暴力破解、撞库、批量注册,自动发贴等攻击的防护能力。
本篇,来测试防暴力破解、撞库、批量注册、自动发贴功能,鉴于篇幅,用防暴力破解为例。
PS:这是个重量级的测试,因为自动化攻击在近年来的攻击总量中,占到了惊人的80%以上,是最常见攻击,实际攻击量比SQL注入、XSS要高很多。暴力破解、撞库、批量注册、自动发贴都属于自动化攻击。
测试,用dvwa的登录页面为例:
先挖个坑,上两张图:
防护前:
防护后:
仔细观查他们的不同的处。这是GOODWAF能防护自动化攻击的主要原因。看到,并理解他们的不同了吗?我们先测效果,最后再揭谜底。
测试过程:
用burp抓包,并发至intrder功能,
配置好后,然后发起攻击:
注意:password在这里是正确的密码,但是此时burp没有攻击成功,没有成功登录。
返回数据:
成功防护暴力破解。
迷底,为什么能防护:
GOODWAF将关键html元素:用户名,进行了加密。从最开始的两图中可以看到,原本是username,变成了乱码字符(当然,GOODWAF会在发往被保护的服务器时,将其还原)。而在burp发起的枚举攻击中(intrder),依然用的是原始的username,当然无法形成有效的攻击。
那么,假如burp,重新获取登录数据,获取到了那个加密的乱码,并进行暴力枚举,不是就可以了吗? 答案是:NO。GOODWAF形成的加密字符,并非一成不变的,而是会动态变化!总不能,每一次都手动拦截修改吧。当然不能了。
SO,这种防护方式相当强大,强大到可以抵挡几乎所有暴力破解、撞库、批量注册、自动发贴等自动化攻击!