SANGFOR_NGAF_WAF功能快速测试指导.pdf

Sangfor_AF_v5.4_WAF功能快速测试指导 目录 Sangfor_AF_v5.4_WAF功能快速测试指导_201409111 学习目的2 测试拓扑与网络配置2 测试内容3 1 网站攻击防护3 1.1WEB应用防护类型3 1.1.1SQL注入4 1.1.2XSS攻击（反射型XSS和存储型XSS）7 1.1.3 网页木马12 1.1.4 网站扫描12 1.1.5WEBSHELL14 1.1.6 跨站请求伪造18 1.1.7 系统命令注入18 1.1.8 文件包含攻击22 1.1.9 目录遍历攻击25 1.1.10 信息泄露攻击27 1.1.11WEB整站系统漏洞29 1.2CSRF防护31 1.3 受限URL防护35 2 参数防护36 2.1 主动防御36 2.2 自定义参数防护40 3 应用隐藏43 3.1FTP43 3.2HTTP43 4 口令防护44 4.1FTP弱口令防护46 4.2WEB登陆弱口令防护47 4.3WEB登陆明文传输检测48 4.4 口令暴力破解防护49 5 权限控制50 5.1 文件上传过滤50 5.2URL防护51 6 登陆防护用户登陆权限防护- 53 7HTTP异常检测56 7.1 协议异常56 7.2 方法过滤58 8 网站扫描防护60 9 缓冲区溢出检测61 10 数据泄密防护64 10.1 敏感信息防护64 10.2 文件下载过滤66 学习目的 1. 了解AF能够防御的各种攻击的基本样例 2. 掌握使用虚拟机集成环境的网络配置 3. 掌握使用虚拟机集成环境演示AF 的绝大多数WAF功能 测试拓扑与网络配置 AF设备以透明模式部署，攻击PC与虚拟机分别位于虚拟网线的两侧，由攻 击PC对虚拟机发起攻击。 测试内容 WAF策略配置如下图所示 具体到每个防护类型的策略配置信息请参阅各个防护类型的测试内容中的 配置截图部分： 1 网站攻击防护 1.1WEB应用防护类型 配置截图： 1.1.1 SQL注入 测试页面： /jcsweb/news.php?id=7901 测试步骤： 1) 正常访问测试页面，/jcsweb/news.php?id=7901结果如下 图所示 2) 使用以下带有sql注入语句的访问请求，访问新闻页面，结果被AF拒绝 /jcsweb/news.php?id=7901%20and%201=2%20union%20select %20null,null,name,password,null%20%20from%20user sql注入语句如下 and 1=2union selectnull,null,name,password,null fromuser AF 日志如下 对应特征库如下 3) AF开启直通，再次提交攻击语句，可看到如下效果，user表中的管理员账号 和密码被显示出来 4) 为了验证是否和数据库一致，我们可以登录到后台数据库执行相同的语句 1.1.2 XSS攻击（反射型XSS和存储型XSS） 有关XSS攻击的分类说明可见：/281.html 测试页面： 首先将DVWA的Security设置为 “low” 测试步骤： 1) 正常访问DVWA的【XSSreflected】测试页面，可以看到表单输入框 2) 在输入框中填入如下攻击语句，点击Submit scriptalert