VWA是常用的WAF功能测试工具,本篇用DVWA测试GOODWAF对SQL注入、XSS攻击的防护能力。
DVWA(Damn Vulnerable Web Application)是著名的WEB漏洞测试工具,它基于PHP/MySQL,可用于进行10余种常见、不同级别的攻击测试。
环境搭建
DVWA是需要PHP和MYSQL环境的,如果单独的装PHP和MYSQL会比较繁琐。这里使用PHP Study,它集成了mysql和php,与dvwa配合使用非常方便。
软件:dvwa、php study。请自行搜索官网下载、安装。过程很简单,且关键环节都有提示。这里不再详述。
dvwa配置数据库密码:
等看到下面的界面,安装已经完成,dvwa已可访问:
登录默认帐号密码是:admin、password
登录后,点击界面中的“create/reset database“,然后就可以进行功能测试了。
防护能力测试
SQL注入防护测试
使用GOODWAF防护前,SQL注入漏洞存在,可被攻击:
使用GOODWAF防护后,攻击被阻止:
攻击手段提升,试图绕过,依然被阻止:
xss攻击防护测试
反射型XSS
防护前,漏洞存在:
防护后,攻击被阻止:
存储型XSS漏洞防护
测试证明,GOODWAF对于SQL注入、XSS攻击,具有很好的防护效果。