在阿里云上测试Web应用防火墙的有效性

这篇具有很好参考价值的文章主要介绍了在阿里云上测试Web应用防火墙的有效性。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

在实现公有云服务提供的各种安全服务时,您可能会有这样的疑问:我真的能防范来自外部的安全攻击吗?

在本文中,九河云将使用阿里云 Web 应用防火墙 (WAF) 来验证安全性。WAF可以实时识别和阻止Web攻击和恶意Web请求。我们将对网站服务发起攻击,以测试阿里云 WAF 是否能够阻止它们。以下部分将介绍这些步骤。

1. 配置概述

配置步骤很简单。WAF 放置在 Web 服务器的前面,以防止暴露 Web 服务器。在此示例中,我们将使用云服务器 (ECS) 服务器。将使用 WAF 验证对 Web 服务器的所有访问。Web服务器的完全限定域名(FQDN)和WAF的CNAME在域名系统(DNS)中注册。

在阿里云上测试Web应用防火墙的有效性,阿里云,前端,云计算

Web 服务器具有全局 IP 地址。因此,Web 服务器可以检查未使用 WAF 验证的访问。

注意:以下部分介绍了IP地址,CNAME和FQDN的定义:

  • Web 服务器的 FQDN:用户要访问的 URL。使用 FQDN。
  • WAF的CNAME:WAF实例的CNAME。将 Web 服务器的 FQDN 设置为 CNAME。
  • Web服务器的全局IP地址:Web服务器的全局IP。设置源服务器的全局 IP 地址。源服务器是后端服务器。

2. 构建 Web 服务器

在此示例中,我们将使用阿里云弹性计算服务(ECS)服务器。ECS服务器的操作系统为CentOS。

2.1 执行以下命令安装Apache HTTP服务器

# yum -y update
# yum -y install httpd

2.2 执行以下命令创建加密证书

# yum -y install certbot
# systemctl enable httpd
# systemctl start httpd
# certbot certonly --webroot -w /var/www/html -d <Web server FQDN>

注意:在创建加密证书之前解析 DNS 记录。

执行以下命令,创建证书。

/etc/letsencrypt/live/<Web server FQDN>/fullchain.pem
/etc/letsencrypt/live/<Web server FQDN>/privkey.pem

2.3 执行以下命令安装SSL

# yum -y install mod_ssl

2.4 执行以下命令移动证书

# vi /etc/httpd/conf.d/ssl.conf

运行 vi 命令以添加以下文件:

SSLCertificateFile /etc/letsencrypt/live/<Web server FQDN>/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/<Web server FQDN>/privkey.pem

2.5 执行以下命令,重启Apache HTTP服务器

# systemctl restart httpd

3. 发起攻击

3.1 执行以下命令安装PHP

# yum install �Cy php

3.2 执行以下命令发起攻击

# cd /var/www/html/

# vi index.html

使用 vi 命令创建 HTML 源代码。

<!DOCTYPE html>
<html lang="ja">
<head>
<meta charset="utf-8">
<title> Getting started with HTML: Create a text box</title>
</head>
<body>
<form action="//sbc-nextcloud.sbcicp1.net/index.php" method="post">
        <p> Username:<br>
        <input type="text" name="name"></p>
        <p><input type="button" value="Check" id="button2"></p>
</form>
</body>
</html>
# vi index.php

使用 vi 命令创建 PHP 源代码。

<?php

foreach (getallheaders() as $name => $value) {
    echo "$name: $value\n";
}

?>

4. 开通阿里云WAF

4.1 配置WAF

在阿里云上测试Web应用防火墙的有效性,阿里云,前端,云计算

在阿里云上测试Web应用防火墙的有效性,阿里云,前端,云计算

4.2 检查是否使用WAF进行访问

access:查看访问结果。https://<Web Server FQDN>/index.php

如果存在下图中的配置,则使用WAF进行访问。

在阿里云上测试Web应用防火墙的有效性,阿里云,前端,云计算

5. 确认WAF效果

我们将在启用 WAF 时通过篡改 URL 参数来发起攻击。

如果URL参数不被篡改,网站可以正常访问。

但是,在发起攻击后,网站将变得无法访问,这表明了WAF的有效性。

要发起攻击,请篡改以下 URL 参数:

https://<Web server FQDN>/index.html?q=SELECT id,pass FROM login_user WHERE id='1' or '1' = '1'-- AND pass=";

如下图所示,WAF拒绝了访问请求。

在阿里云上测试Web应用防火墙的有效性,阿里云,前端,云计算

接下来,我们将在禁用 WAF 的情况下发起攻击。

为此,请篡改以下 URL 参数,如果您尚未注册 CNAME,请使用全局 IP 地址。

https://8.209.255.234/index.html?q=SELECT id,pass FROM login_user WHERE id='1' or '1' = '1'-- AND pass=";

下图为在没有WAF的情况下访问ECS服务器时显示的页面。

在阿里云上测试Web应用防火墙的有效性,阿里云,前端,云计算文章来源地址https://www.toymoban.com/news/detail-781457.html

到了这里,关于在阿里云上测试Web应用防火墙的有效性的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Web应用防火墙--规则防护

    Web应用防火墙对网站、APP的业务流量安全及合规性保护,对业务流量的识别恶意特征提取、分析识别出恶意流量并进行处理, 将正常安全的流量回源到业务服务器, 保护网站核心业务和数据安全。 京东云Web应用防火墙的产品架构示意图如下: Web攻击常见的三种检测手段,规

    2024年02月09日
    浏览(39)
  • 什么是 Web 应用防火墙(WAF)?

    当下时候,网络攻击和针对网站的攻击与日俱增。同时,在我们的日常生活中,安全的重要性也迅速提升。因此,保证在线上世界的安全变得越来越重要。更重要的是,保护你的网站和所存储的数据的安全。所以,我们将介绍什么是 Web 应用防火墙(WAF)? 为什么保护你的网站

    2024年02月04日
    浏览(56)
  • (WAF)Web应用程序防火墙介绍

    ​ Web应用程序防火墙(WAF)是一种关键的网络安全解决方案,用于保护Web应用程序免受各种网络攻击和威胁。随着互联网的不断发展,Web应用程序变得越来越复杂,同时也变得更加容易受到恶意攻击。WAF的目标是在应用程序和Web服务器之间建立一个安全的屏障,有效地防止各

    2024年02月11日
    浏览(42)
  • 阿里云和AWS之间的应用程序防火墙比较及选择建议!

    对于大多数开发人员来说,托管在云中的 Web 应用程序或 REST API 是一种常见方案。但是,并非每个应用程序都具有相同的安全级别。将 Web 应用程序防火墙 (WAF) 添加到 Web 应用程序是提高安全性的有用方法。 在本文中,九河云将比较两个基于云的 WAF 选项:阿里云提供的

    2024年01月24日
    浏览(99)
  • docker上面部署nginx-waf 防火墙“modsecurity”,使用CRS规则,搭建WEB应用防火墙

    web防火墙(waf)免费开源的比较少,并且真正可以商用的WAF少之又少,modsecurity 是开源防火墙鼻祖并且有正规公司在维护着,目前是https://www.trustwave.com在维护,不幸的是2024 年 7 月将不再维护交还开源社区管理,Trustwave目前打造自己的web防火墙,至于是否免费开源就不得而知

    2023年04月21日
    浏览(40)
  • Web 应用程序防火墙 (WAF) 相关知识介绍

    Web应用程序防火墙 (WAF) 如何工作? Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 WAF通过过滤、监控和

    2024年02月06日
    浏览(50)
  • 网络安全知识入门:Web应用防火墙是什么?

    在互联网时代,网络安全问题逐渐受到重视,防火墙的配置也是非常必要的。它是位于内部网和外部网之间的屏障,更是系统的第一道防线。Web应用防火墙是什么,如何才能更好地保护Web应用,这篇文章会从应用安全为出发点,把各个技术点逐一讲透。 提到Web应用防火墙是什

    2024年03月08日
    浏览(46)
  • 安恒 明御WEB应用防火墙 report.php 任意用户登录漏洞

    安恒 明御WEB应用防火墙 report.php文件存在硬编码设置的Console用户登录,攻击者可以通过漏洞直接登录后台 安恒 明御WEB应用防火墙 app=“安恒信息-明御WAF” 登录页面 验证POC /report.m?a=rpc-timed 再访问主页面跳转配置页面 发送请求包配置系统SSH等 漏洞太傻,本人检测工具懒得写

    2024年02月12日
    浏览(42)
  • 阿里云国际版云服务器防火墙设置

    阿里云国际版云服务器防火墙设置 入侵防御页面为您实时展示云防火墙拦截流量的源IP、目的IP、阻断应用、阻断来源和阻断事件详情等信息。本文介绍了入侵防御页面展示的信息和相关操作,下面和012一起来了解阿里云国际版云服务器防火墙设置: 前提条件 您需要先在防护

    2024年02月15日
    浏览(49)
  • 阿里云安全产品云防火墙是什么?有什么作用?

    阿里云云防火墙(Cloud Firewall)是一款公共云环境下的SaaS化防火墙,可统一管理南北向和东西向的流量,提供流量监控、精准访问控制、实时入侵防御等功能,全面保护您的网络边界。可提供统一的互联网边界、内网VPC边界、主机边界流量管控与安全防护,包括结合情报的实

    2024年02月16日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包