WAF相关入门介绍须知

WAF入门

Posted by BY on May 16, 2018

了解WAF攻击的过程(需了解124)

1, OWASP-Top10-2017-v1.3

2, 靶场DVWA

了解常见的攻击漏洞; 攻击的方法看页面的 help 按钮即可

  • 用户名/密码 admin/password

3, 最全靶场 WebGoat

  • WebGoatBwapp是面向开发人员的靶场环境,旨在改变一些编码习惯。
  • 这是个jar包, 安装了Java之后直接点击就能
  • 运行 java -jar webgoat-server-8.0.0.VERSION.jar [--server.port=8080] [--server.address=localhost]
  • 网上关于本地WebGoat7.1版本的介绍较多。这里给一个8.0的jar包

4, WAF 渗透工具

Burpsuite

  • Burpsuite+Pro+1.6
  • 就是获取网页的包进行修改重发的工具。
  • 后面有个文档会介绍

5, OWASP测试指南(中文)

  • 测试指南是相关的生产环境中waf应该达到的标准。
  • 对应的过审WAF(waf标准.pdf)

6, 深入尝试新的漏洞和解决方案

7, WAF部署和测试【跳过】