智慧云安全数据防护平台防护效果：防SQL注入、防XSS

         VWA是常用的WAF功能测试工具，本篇用DVWA测试GOODWAF对SQL注入、XSS攻击的防护能力。

         DVWA（Damn Vulnerable Web Application）是著名的WEB漏洞测试工具，它基于PHP/MySQL，可用于进行10余种常见、不同级别的攻击测试。

        环境搭建

        DVWA是需要PHP和MYSQL环境的，如果单独的装PHP和MYSQL会比较繁琐。这里使用PHP Study，它集成了mysql和php，与dvwa配合使用非常方便。

软件：dvwa、php study。请自行搜索官网下载、安装。过程很简单，且关键环节都有提示。这里不再详述。

           dvwa配置数据库密码：

          等看到下面的界面，安装已经完成，dvwa已可访问：

           登录默认帐号密码是：admin、password

           登录后，点击界面中的“create/reset database“，然后就可以进行功能测试了。

           防护能力测试

           SQL注入防护测试
           使用GOODWAF防护前，SQL注入漏洞存在，可被攻击：

             使用GOODWAF防护后，攻击被阻止：

         攻击手段提升，试图绕过，依然被阻止：

           xss攻击防护测试

           反射型XSS

           防护前，漏洞存在：

        防护后，攻击被阻止：

          存储型XSS漏洞防护

          测试证明，GOODWAF对于SQL注入、XSS攻击，具有很好的防护效果。