![](https://ken.lookme.cc/wp-content/uploads/2021/11/2022_優福網_選單.jpg)
測試環境與架構!
測試的網路架構如下圖,測試的方式也很簡單,靶機的系統網站使用一模一樣的WordPress版本和外掛,包括網站內容也都一樣,然後攻擊機會分別在兩個不同網段使用OWASP ZAP進行掃描測試:
- 192.168.1.x的網段(模擬從防火牆外部來進行掃描)
- 172.16.1.x的網段(與靶機相同的內部網段來進行掃描)
理論上若是WAF有防護效果的話,靶機就不會掃出有XSS和SQL Injection的漏洞才對!
![](https://ken.lookme.cc/wp-content/uploads/2022/01/2022-01-02_上課示範網路架構-1024x577.jpg)
攻擊機與靶機在相同網段進行掃描測試的結果~
靶機的系統網站:
- WordPress 5.8.3 + WooCommerce 6.1.0
- CentOS 7.8 + MySQL 5.7.34 + Php 7.4.21
攻擊機的系統:
- Kali Linux 2021.3
- OWASP ZAP 2.11.0
掃描的結果如下圖:
![](https://ken.lookme.cc/wp-content/uploads/2022/01/20220124_172測試結果-1024x576.jpg)
攻擊機從防火牆外部進行掃描測試的結果~
靶機的系統網站:
- WordPress 5.8.3 + WooCommerce 6.1.0
- CentOS 7.8 + MySQL 5.7.34 + Php 7.4.21
攻擊機的系統:
- Kali Linux 2021.3
- OWASP ZAP 2.11.0
掃描的結果如下圖:
![](https://ken.lookme.cc/wp-content/uploads/2022/01/20220124_192測試結果-1024x576.jpg)
次世代防火牆的WAF設定~
這次的掃描測試結果有點出乎我的意料之外,原本以為有使用了Nginx + NAXSI的WAF防護之後,靶機在防火牆的保證之下應該會擋掉XSS和SQL Injection的測試,但結果並沒有,我想這表示即便啟用了預設的WAF Policy和Rules,最好還是要再人工去做微調…
但老實說,我個人寧願在靶機的網站進行深度防護!
WAF的設定如下圖:
![](https://ken.lookme.cc/wp-content/uploads/2022/01/20220124_防火牆的WAF設定-1.jpg)
NAXSI WAF的預設Policy
![](https://ken.lookme.cc/wp-content/uploads/2022/01/20220124_防火牆的WAF設定-2.jpg)