WAF安全防护功能测试方案(加强版)

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1. 测试基本情况

本次测试由xxx公司对WAF进行测试。

1.1 测试时间

环境准备:2016年9月x日

实施测试:2016年9月x日~2016年9月x日1.2 测试地点

1.3 测试参与人员

测试实施方:

被测方:

2. 测试样品登记表

3. 登录WEB平台

3.1 WebGoat

http://192.168.6.60/WebGoat/attack

账号:guest

密码:guest

3.2 dvwa

http://192.168.6.147:8080/dvwa

账号:admin

密码:password

4. 防护功能测试项

4.1 SQL 注入

4.2 SQL 盲注

4.3 反射型跨站

3.攻击完毕后,查看WAF上的WEB防护日志,应准确记录了此次攻击的情

该攻击被阻止,不应存在弹框

4.4 存储型跨站

3.攻击完毕后,查看WAF上的WEB防护日志,应准确记录了此次攻击的情

4.5 跨站请求伪造

3.页面刷新后,您会在消息列表中看到一个新的消息:

4. 点击这个消息,这将会下载这个消息并以 HTML的方式显示,这时用BurpSuite 来截获请求。在其中添加“&transferFunds=5000

正确阻断攻击并记录攻击日志。

查看WAF攻击日志出现对应攻击防护阻断介绍:

<提供截图>

☐通过☐部分通过☐未通过☐未测试4.6 暴力破解

账号密码不应被暴力破解,正确阻断攻击并记录攻击日志查看WAF攻击日志出现对应攻击防护阻断介绍:

4.7 命令执行

命令不应被执行,正确阻断攻击并记录攻击日志查看WAF攻击日志出现对应攻击防护阻断介绍:

4.8 文件包含

4.9 恶意文件上传

该攻击被阻止

4.10 目录遍历

4.11 WebServices 命令执行

该攻击被阻止

查看WAF攻击日志出现对应攻击防护阻断介绍:

<提供截图>

☐通过☐部分通过☐未通过☐未测试4.12 网页篡改防护

2、配置WAF设备网页防篡改功能,设置网站ip地址及步骤

服务器用户名密码网站所在的目录及ftp服务器中绑定的目录,动作可以选择报警或自动恢复

对网站所在目录文件进行变更后查看WAF设选择自动恢复,

保存在网页签名库中备份服务器文件对修改后服务器进行文件恢复。

查看WAF攻击日志出现对应攻击防护阻断介绍:

<提供截图>

4.13 抗DOS及CC攻击

4.14 智能攻击者锁定

4.15 敏感信息隐藏

访问路径

4.16 网络爬虫

4.17 服务器隐身

4.18 参数自学习

3.打开自学习报告页面查看自学习参数。

4.学习完成,配置参数最大长度,由于要下一步骤只是构造请求体参数攻击,故只

针对请求体参数进行最大长度规则配置,此步骤尤其注意设置完参数最大长度

4.19 请求参数防护

该攻击被阻止,不允许在URL中执行&admin=ture,不会返回:

查看WAF攻击日志出现对应攻击防护阻断介绍:

4.20 盗链防护

该攻击被阻止

查看WAF攻击日志出现对应攻击防护阻断介绍:

<提供截图>

☐通过☐部分通过☐未通过☐未测试4.21 双重编码还原

4.22 URI访问控制

4.23 独立URI防护

4.24 多对一防护部署

4.25 漏扫结果生成防护策略

4.26 Bypass支持

5. 记录审核单

相关文档
最新文档