DVWA是常用的WAF功能测试工具,本篇用DVWA测试ShareWAF对SQL注入、XSS攻击的防护能力。


DVWA(Damn Vulnerable Web Application)是著名的WEB漏洞测试工具,它基于PHP/MySQL,可用于进行10余种常见、不同级别的攻击测试。

环境搭建
DVWA是需要PHP和MYSQL环境的,如果单独的装PHP和MYSQL会比较繁琐。这里使用PHP Study,它集成了mysql和php,与dvwa配合使用非常方便。
软件:dvwa、php study。请自行搜索官网下载、安装。过程很简单,且关键环节都有提示。这里不再详述。

dvwa怎么用?dvwa有什么用?dvwa测试。dvwa测试WAF功能。


dvwa配置数据库密码:
dvwa怎么用?dvwa有什么用?dvwa测试。dvwa测试WAF功能。


等看到下面的界面,安装已经完成,dvwa已可访问:

dvwa怎么用?dvwa有什么用?dvwa测试。dvwa测试WAF功能。


登录默认帐号密码是:admin、password

dvwa怎么用?dvwa有什么用?dvwa测试。dvwa测试WAF功能。


登录后,点击界面中的“create/reset database“,然后就可以进行功能测试了。

防护能力测试

SQL注入防护测试
使用ShareWAF防护前,SQL注入漏洞存在,可被攻击:
dvwa怎么用?dvwa有什么用?dvwa测试。dvwa测试WAF功能。


使用ShareWAF防护后,攻击被阻止:
dvwa怎么用?dvwa有什么用?dvwa测试。dvwa测试WAF功能。


dvwa怎么用?dvwa有什么用?dvwa测试。dvwa测试WAF功能。


dvwa怎么用?dvwa有什么用?dvwa测试。dvwa测试WAF功能。


攻击手段提升,试图绕过,依然被阻止:
dvwa怎么用?dvwa有什么用?dvwa测试。dvwa测试WAF功能。


dvwa怎么用?dvwa有什么用?dvwa测试。dvwa测试WAF功能。


xss攻击防护测试

反射型XSS
防护前,漏洞存在:
dvwa怎么用?dvwa有什么用?dvwa测试。dvwa测试WAF功能。


防护后,攻击被阻止:

dvwa怎么用?dvwa有什么用?dvwa测试。dvwa测试WAF功能。


dvwa怎么用?dvwa有什么用?dvwa测试。dvwa测试WAF功能。


存储型XSS漏洞防护

dvwa怎么用?dvwa有什么用?dvwa测试。dvwa测试WAF功能。


dvwa怎么用?dvwa有什么用?dvwa测试。dvwa测试WAF功能。


测试证明,ShareWAF对于SQL注入、XSS攻击,具有很好的防护效果。