用DVWA实测ShareWAF防护能力。

本文将用DVWA搭建测试环境，测试ShareWAF对OWASP常见威胁的防护能力。

如您是ShareWAF的使用者，从中可学习到相关防护的使用方法，也可了解到相应的防护效果。

 

一、DVWA测试环境搭建

web环境准备，使用phpstudy：

 

从dvwa官网，下载dvwa源码：

 

下载后，解压到phpstudy的www目录中：

 

打开config目，修改config.inc.php.dist为config.inc.php：

 

同时在phpstudy中创建与config.inc.php中一致的数据库：

 

启动apache和mysql：

 

初次访问，安装dvwa：

 

执行最下方的“Create/Reset Database"。之后dvwa数据库创建成功，并会跳转到登录页。

 

dvwa测试环境已准备好。

二、ShareWAF部署

从ShareWAF官网下载ShareWAF最新版：

 

 

解压：

 

命令行中，安装依赖：

注：需要先安装好NodeJS，此过程略。

 

安装非常快，如下图，安装过程：66秒。然后启动ShareWAF：

 

进入ShareWAF管理员后台，添加测试域名。

注：管理员后台，非域名后台。管理员后台用于添加域名等，域名后台用于配置保护选项。

 

注意保护目标，使用的是81端口，因为要给SharWAF使用80端口，所以事先需在phpstudy中修改web端口为81：

 

 

由于是内网测试，所以需要修改hosts，做本地域名解析：

使用的测试域名是：www.dvwa.com

 

访问：

 

看页面中出现了ShareWAF图标，可知已在ShareWAF保护之下。

注：ShareWAF免费使用时有此图标，授权后没有。

接下来就可以进行防护测试了。

三、防护测试

登录DVWA：

 

SQL注入防护

防护前：

 

ShareWAF有多重防护，这是前端WAF的防护效果。

可将其关闭，以测试其它防护引擎的防护效果：

 

如要测试内核防护效果，先需配入防护规则：

 

注：上图规则为示例。

输入测试指令：

 

防护前：

 

防护后，被拦截：

 

ShareWAF命令行后台，也会看到相关调试信息：

 

注：拦截时，除前端WAF外，都会在ShareWAF后台有相应的审核日志信息。

XSS防护

防护前：

反射型：

 

 

存储型：

 

 

防护后：

反映型，未执行：

 

存储型，未执行：

 

命令行注入防护

防护前：

 

 

注：出现了乱码，不过能看出是返回了执行结果：）

防护后，无返回内容：

 

后台拦截记录：

 

文件上传防护

防护前：

 

防护后：

 

CSRF防护

防护前：

 

ShareWAF后台开启“防CSRF”：

 

防护后：

 

此外，暴力破解防护，可以使用ShareWAF的变形元素功能，也可使用风控规则限制;

WeakSessionIDS防护、FileInclusion防护等，都同理可进行防护前和防护后的效果对比。

这些，只是ShareWAF的常规防护功能。

ShareWAF的强大功能，如：JS混淆加密、网页源码加密、网页防篡改、反爬虫、前端WAF、反扫描、自定编程防护、大数据防护等并不能通过DVWA进行测试，DVWA不具备测试条件。

如要详细了解，请参考ShareWAF相关文档介绍进行功能实际使用、查看相关的防护效果。

总而言之，ShareWAF有传统防护功能，更有众多创新、实用功能，是一款具备足够先进性的新一代WAF！保护网站安全的新一代神器。