WAF安全防护功能测试方案(加强版)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1. 测试基本情况
本次测试由xxx公司对WAF进行测试。
1.1 测试时间
环境准备:2016年9月x日
实施测试:2016年9月x日~2016年9月x日1.2 测试地点
1.3 测试参与人员
测试实施方:
被测方:
2. 测试样品登记表
3. 登录WEB平台
3.1 WebGoat
http://192.168.6.60/WebGoat/attack
账号:guest
密码:guest
3.2 dvwa
http://192.168.6.147:8080/dvwa
账号:admin
密码:password
4. 防护功能测试项
4.1 SQL 注入
4.2 SQL 盲注
4.3 反射型跨站
3.攻击完毕后,查看WAF上的WEB防护日志,应准确记录了此次攻击的情
况
该攻击被阻止,不应存在弹框
4.4 存储型跨站
3.攻击完毕后,查看WAF上的WEB防护日志,应准确记录了此次攻击的情
况
4.5 跨站请求伪造
3.页面刷新后,您会在消息列表中看到一个新的消息:
4. 点击这个消息,这将会下载这个消息并以 HTML的方式显示,这时用BurpSuite 来截获请求。在其中添加“&transferFunds=5000
正确阻断攻击并记录攻击日志。
查看WAF攻击日志出现对应攻击防护阻断介绍:
<提供截图>
☐通过☐部分通过☐未通过☐未测试4.6 暴力破解
账号密码不应被暴力破解,正确阻断攻击并记录攻击日志查看WAF攻击日志出现对应攻击防护阻断介绍:
4.7 命令执行
命令不应被执行,正确阻断攻击并记录攻击日志查看WAF攻击日志出现对应攻击防护阻断介绍:
4.8 文件包含
4.9 恶意文件上传
该攻击被阻止
4.10 目录遍历
4.11 WebServices 命令执行
该攻击被阻止
查看WAF攻击日志出现对应攻击防护阻断介绍:
<提供截图>
☐通过☐部分通过☐未通过☐未测试4.12 网页篡改防护
2、配置WAF设备网页防篡改功能,设置网站ip地址及步骤
服务器用户名密码网站所在的目录及ftp服务器中绑定的目录,动作可以选择报警或自动恢复
对网站所在目录文件进行变更后查看WAF设选择自动恢复,
保存在网页签名库中备份服务器文件对修改后服务器进行文件恢复。
查看WAF攻击日志出现对应攻击防护阻断介绍:
<提供截图>
4.13 抗DOS及CC攻击
4.14 智能攻击者锁定
4.15 敏感信息隐藏
访问路径
4.16 网络爬虫
4.17 服务器隐身
4.18 参数自学习
3.打开自学习报告页面查看自学习参数。
4.学习完成,配置参数最大长度,由于要下一步骤只是构造请求体参数攻击,故只
针对请求体参数进行最大长度规则配置,此步骤尤其注意设置完参数最大长度
4.19 请求参数防护
该攻击被阻止,不允许在URL中执行&admin=ture,不会返回:
查看WAF攻击日志出现对应攻击防护阻断介绍:
4.20 盗链防护
该攻击被阻止
查看WAF攻击日志出现对应攻击防护阻断介绍:
<提供截图>
☐通过☐部分通过☐未通过☐未测试4.21 双重编码还原
4.22 URI访问控制
4.23 独立URI防护
4.24 多对一防护部署
4.25 漏扫结果生成防护策略
4.26 Bypass支持
5. 记录审核单