你的WAF是否真的安全?雷池社区版的安全能力测试
你的WAF能力如何?雷池社区版的安全能力测试
最近雷池社区版很火,各大技术群都在讨论
什么是雷池?
引用官网文档的一段话:
SafeLine,中文名 "雷池",是一款简单好用, 效果突出的 Web 应用防火墙(WAF)
,可以保护 Web 服务不受黑客攻击。
雷池通过过滤和监控 Web 应用与互联网之间的 HTTP 流量来保护 Web 服务。可以保护 Web 服务免受 SQL 注入
、XSS
、 代码注入
、命令注入
、CRLF 注入
、ldap 注入
、xpath 注入
、RCE
、XXE
、SSRF
、路径遍历
、后门
、暴力破解
、CC
、爬虫
等攻击。
为什么要测试WAF
作为一个见证雷池社区版从几百人使用到几十万人的元老用户,感觉十分欣慰,大家都看到这款国产waf的崛起。
说到WAF,很多人都会疑惑,为何雷池社区版能脱颖而出,一定是安全能力。
用什么测试WAF
网上有大量的工具可以测试waf的安全能力
下面介绍一款工具,据说是热心的社区版用户为测试雷池社区版的能力专门研发的,有需要的小伙伴可以进行二次开发。
项目地址:https://github.com/chaitin/blazehttp
简单介绍
BlazeHTTP 是一款简单易用的 WAF 防护效果测试工具。
-
📦 样本丰富:目前总样本33669条,可以手动替换样本
-
🚀 无需配置:提供图形化界面和命令行版本,可直接通过 Release 下载预编译版本,也可以克隆代码本地自行编译
-
📖 报告导出:导出所有样本的执行结果,包括样本属性,执行时间,状态码,是否拦截等
实战教程
为了方便大家使用,这里使用GUI版本测试
- 克隆代码到本地环境(默认本地环境已经安装git,可以执行git命令)
输入:git clone https://github.com/chaitin/blazehttp.git && cd blazehttp 进行代码克隆
下载完成后可以使用ls 看到文件都已经存在
2.本地执行go run gui/main.go 启动gui界面
执行完成后正常情况会自动弹出一个界面,弹出后,后续相关操作就直接在界面执行即可
3.填入需要测试的站点,直接测试
注意需要关闭雷池社区版的高级功能,比如人机验证、动态防护和频率限制,因为会把攻击ip直接拦截,测试不到真实的检测拦截效果
输入目标网站,开始测试!根据实际电脑配置设置工作线程,线程越多理论速度越快
有些低配置机器会因为工具的高pqs打满带宽,目的不是为了ddos,需合理设置线程
雷池的表现,如果出现高pqs打满带宽和cpu的情况,部分请求会走by pass(放通的逻辑,业务至上
!
如果降低qps,设置30个工作线程,可以明显的看到雷池的检出率上升为92.5%
再降低速度,观察雷池的拦截情况,效果非常好
在雷池的管理端,可以看到所有的攻击日志,也可以对每一个攻击请求进行ai分析
关于工具 还是可以查看样本的
查看白样本和黑样本,确认样本是否合理
还可以直接找到测试结果中没有拦截的样本进行分析,然后手动加一些自定义的黑名单规则进行补充拦截