WAF防护能力测试-模板.docxVIP

PAGE3

WAF防护能力测试

目录

TOC\o1-3\h\z\u1. 测试拓扑 4

2. 测试结果汇总 4

3. WAF核心防御功能 6

3.1 常规应用攻击防御能力 6

3.1.1 SQL注入攻击 6

3.1.2 XSS攻击 7

3.1.3 PHP反序列化攻击 9

3.1.4 文件包含攻击 10

3.1.5 PHP代码注入攻击 11

3.2 特殊应用攻击手段防御能力 13

3.2.1 SQL注入混淆攻击 13

3.2.2 XSS混淆攻击 14

3.2.3 文件包含混淆攻击 15

3.2.4 PHP代码注入混淆攻击 17

3.3 常用编码解码能力 18

3.3.1 BASE64解码 18

3.3.2 URLEncoding解码 20

3.3.3 HTMLEntities解码 21

3.3.4 UnicodeEscape解码 22

3.3.5 混合编码解码能力 24

3.4 误报测试 25

3.4.1 SQL注入攻击误报测试 25

3.4.2 XSS攻击误报测试 26

3.4.3 WAF综合拦截能力测试 27

3.5 基于AI的机器学习攻击防御 28

3.5.1 异常攻击检测 28

3.5.2 机器人(Bot)检测 30

3.6 爬虫检测防御 33

3.6.1 生物特征识别检测防御 33

3.6.2 爬虫、慢速攻击和漏扫检测防御 34

3.6.3 爬虫欺骗 36

3.7 安全可视化能力 38

3.7.1 基于安全事件和流量信息的实时可视化能力 38

3.7.2 攻击日志关联性分析和溯源能力 39

3.7.3 安全报告汇总和定制化展现能力 41

测试拓扑

测试结果汇总

测试项目

测试结果

常规应用防御能力检测

SQL注入攻击

通过

XSS攻击

通过

Java反序列化攻击

通过

PHP反序列化攻击

通过

文件包含攻击

通过

PHP代码注入攻击

通过

特殊应用攻击手段防御能力检测

SQL注入混淆攻击

通过

XSS混淆攻击

通过

文件包含混淆

通过

PHP代码注入混淆攻击

通过

常用编码解码能力

BASE64解码

通过

URLEncoding解码

通过

HTMLEntities解码

通过

HexEncoding解码

通过

UnicodeEscape解码

通过

混合编码解码

通过

误报测试

SQL注入攻击误报测试

通过

XSS攻击误报测试

通过

综合拦截能力测试

综合拦截能力测试

通过

基于AI的机器学习

攻击防御

异常攻击检测

通过

机器人(Bot)检测

通过

爬虫检测防御

生物特征识别检测防御

通过

爬虫、慢速攻击和漏扫检测防御

通过

爬虫欺骗

通过

安全可视化能力

基于安全事件的实时安全可视化能力

通过

攻击日志关联性分析与溯源能力

通过

安全报告总汇和定制化展现能力

通过

WAF核心防御功能

常规应用攻击防御能力

SQL注入攻击

测试项目

SQL注入攻击检测

测试项目描述

SQL注入攻击是WEB应用系统最为严重的攻击之一，通过SQL注入可能导致信息泄漏等恶性事件的产生，SQL注入的本质是数据库没有将输入的数据片段与可执行的代码加以区分，导致输入可执行代码对数据库进行有危险的操作。

执行步骤

添加防护站点，绑定至后端真实server；

将WEB流量牵引至WAF检测节点；

URL短接SQLpayload进行测试，可参考“/?id=1and1=2”,观察是否成功拦截，并记录拦截日志。

预期结果

WAF拦截攻击请求并记录日志

截图证明

判定结果

√通过□部分通过□未通过□未测试□无此功能

测试人员

日期

XSS攻击

测试项目

XSS攻击检测

测试项目描述

XSS攻击同样也是WEB应用系统最为严重的攻击之一，主要利用网站交互和电子邮件等特性发起攻击，常见的有反射型XSS、存储型XSS，其原理是诱导用户打开有危险行为的链接。

执行步骤

添加防护站点，绑定至后端真实server；

将WEB流量牵引至WAF检测节点；

在客户端构造请求，比如用浏览器访问如下链接：00/logout.asp?out=1url=javascript:alert(document.cookie)

观察请求是否被拦截，查看WAF是否记录攻击日志。

预期结果

WAF拦截攻击请求并记录日志

截图证明

判定结果

√通过□部分通过□未通过□未测试□无此功能

测试人员

日期

PHP反序列化攻击

测试项目

PHP反序列