GitHub 登陆失败
Jsy
更新于 6 小时前
github 登陆配置了相关内容,能拉起到GitHub认证,回调回来提示 未知错误: get user info failed
0
3
雷池bug,钉钉登录后会携带手机号姓名等信息
烨
更新于 7 小时前
手机号、姓名、邮箱均有,手机号未脱敏
0
2
入门必备:安装步骤详解与基础攻击测试案例
Fovik.
更新于 12 小时前
随着数字化进程加速,网络攻击手段(如恶意代码注入、跨站脚本攻击、SQL 注入、DDoS 攻击等)日益多样化,对网站运行安全、用户数据隐私及企业声誉构成严重威胁。
Web 应用防火墙(WAF)作为针对 Web 应用层威胁的核心防护工具,能够实时监测并拦截恶意请求,有效弥补传统网络防火墙在应用层防护的不足,是保障网站安全的关键环节。
通过搭建靶机与 WAF 环境,模拟 SQL 注入攻击,测试雷池 WAF 的拦截效果,验证其基础防护能力。
环境/工具 | 具体说明 | 下载地址 |
---|---|---|
靶机操作系统 | Windows Server 2025 | Windows Server 2025 |
WAF 操作系统 | Ubuntu | Ubuntu |
服务器管理工具 | 小皮面板(phpstudy) | 小皮面板 |
靶机应用 | DVWA(SQL 注入测试靶场) | DVWA |
Web 应用防火墙 | 雷池 WAF(通过官方脚本安装) | - |
准备安装包
提前下载并存放小皮面板和 DVWA 的安装包,确保文件可正常访问。
安装小皮面板并部署 DVWA
运行小皮面板安装包,按照向导完成安装;安装完成后开始搭建 DVWA 靶机环境。
放置 DVWA 文件夹
安装完成后,找到路径 C:\phpstudy_pro\WWW
,将解压后的 DVWA 文件夹复制到该目录下。
启动服务
打开小皮面板,在“首页”找到 Apache 和 MySQL 服务,点击“启动”按钮开启服务。
修改 DVWA 配置文件
定位到路径 C:\phpstudy_pro\WWW\dvwa\config
,找到 config.inc.php.dist
文件,删除文件名后的 .dist
后缀,使其变为 config.inc.php
。
访问 DVWA 初始页面
在浏览器地址栏输入 http://localhost/dvwa
,进入 DVWA 初始化页面。
创建数据库
滚动到页面底部,点击 Create / Reset Database
按钮,初始化 DVWA 数据库。
解决数据库连接问题(若出现)
若提示数据库连接失败,打开 C:\phpstudy_pro\WWW\dvwa\config\config.inc.php
文件,修改 db_user
和 db_password
为小皮面板中 MySQL 的实际用户名和密码(默认多为 root
/root
),保存后重启 Apache 和 MySQL 服务。
进入登录页面
再次点击 Create / Reset Database
后,页面将显示登录入口(login)。
登录 DVWA
点击 login
进入登录页面,使用默认账号(用户名 admin
,密码 password
)登录,成功后进入 DVWA 主界面。
设置安全级别
找到 DVWA Security
选项栏,将安全级别从 Impossible
修改为 Low
,点击 Submit
保存。
验证 SQL 注入漏洞
进入 SQL Injection
栏目(SQL 注入测试页面),在 User ID
输入框中输入 1' or '1' '1
,点击 Submit
,可绕过限制查询到所有用户信息,验证靶机漏洞存在。
记录靶机 IP
在 Windows Server 2025 中,通过 ipconfig
命令查询本机 IP(示例:10.31.2.113
),用于后续 WAF 配置。
安装雷池 WAF
在 Ubuntu 终端中执行雷池官方自动安装脚本(脚本可参考官方文档),等待安装完成。
获取管理地址
安装完成后,终端会显示雷池 WAF 的管理页面网址、用户名和密码,记录该信息。
登录管理页面
在浏览器中输入管理地址,使用获取到的账号密码登录雷池 WAF 管理界面。
添加防护应用
进入“防护应用”页面,点击“添加”按钮,配置防护目标为 Windows Server 2025 的 IP(即 DVWA 靶机 IP),使访问靶机的流量经过 WAF 转发。
验证 WAF 与靶机连接
配置完成后,通过雷池 WAF 的 IP 地址访问 DVWA 靶机,确认可正常打开页面(此时流量已通过 WAF)。
WAF 拦截测试
在通过 WAF 访问的 DVWA SQL Injection
页面,输入注入语句 1'or'1'=1'
并点击 Submit
,观察到请求被雷池 WAF 拦截,页面显示拦截提示。
查看拦截记录
进入雷池 WAF 的“攻击防护”页面,可查看本次 SQL 注入攻击的详细拦截记录,包括攻击类型、时间、来源 IP、请求内容等信息。
雷池 WAF 能够有效识别并拦截 SQL 注入攻击,验证了其对 Web 应用层威胁的基础防护能力。通过本实验,可直观理解 WAF 的部署流程、配置方法及防护效果,为进一步学习网络安全防护技术奠定基础。
1
1
【需求】- 防护报告新增更多内容,可以针对单个应用跟某个应用组出报告
风中芥子
更新于 19 小时前
比如实时QPS图
防护报告生成时间,可以选择小时、分钟,而不是只能选择天
可以针对单个应用跟某个应用组出报告
1
1
希望在新增的频率限制支持针对不同 URL 路径设置独立策略中增加匹配规则
千里行商贸
更新于 15 小时前
希望在新增的频率限制支持针对不同 URL 路径设置独立策略中增加匹配规则,例如UA等
0
1
当前 IP
GitHub 登陆失败
Jsy
更新于 6 小时前
github 登陆配置了相关内容,能拉起到GitHub认证,回调回来提示 未知错误: get user info failed
0
3
雷池bug,钉钉登录后会携带手机号姓名等信息
烨
更新于 7 小时前
手机号、姓名、邮箱均有,手机号未脱敏
0
2
入门必备:安装步骤详解与基础攻击测试案例
Fovik.
更新于 12 小时前
随着数字化进程加速,网络攻击手段(如恶意代码注入、跨站脚本攻击、SQL 注入、DDoS 攻击等)日益多样化,对网站运行安全、用户数据隐私及企业声誉构成严重威胁。
Web 应用防火墙(WAF)作为针对 Web 应用层威胁的核心防护工具,能够实时监测并拦截恶意请求,有效弥补传统网络防火墙在应用层防护的不足,是保障网站安全的关键环节。
通过搭建靶机与 WAF 环境,模拟 SQL 注入攻击,测试雷池 WAF 的拦截效果,验证其基础防护能力。
环境/工具 | 具体说明 | 下载地址 |
---|---|---|
靶机操作系统 | Windows Server 2025 | Windows Server 2025 |
WAF 操作系统 | Ubuntu | Ubuntu |
服务器管理工具 | 小皮面板(phpstudy) | 小皮面板 |
靶机应用 | DVWA(SQL 注入测试靶场) | DVWA |
Web 应用防火墙 | 雷池 WAF(通过官方脚本安装) | - |
准备安装包
提前下载并存放小皮面板和 DVWA 的安装包,确保文件可正常访问。
安装小皮面板并部署 DVWA
运行小皮面板安装包,按照向导完成安装;安装完成后开始搭建 DVWA 靶机环境。
放置 DVWA 文件夹
安装完成后,找到路径 C:\phpstudy_pro\WWW
,将解压后的 DVWA 文件夹复制到该目录下。
启动服务
打开小皮面板,在“首页”找到 Apache 和 MySQL 服务,点击“启动”按钮开启服务。
修改 DVWA 配置文件
定位到路径 C:\phpstudy_pro\WWW\dvwa\config
,找到 config.inc.php.dist
文件,删除文件名后的 .dist
后缀,使其变为 config.inc.php
。
访问 DVWA 初始页面
在浏览器地址栏输入 http://localhost/dvwa
,进入 DVWA 初始化页面。
创建数据库
滚动到页面底部,点击 Create / Reset Database
按钮,初始化 DVWA 数据库。
解决数据库连接问题(若出现)
若提示数据库连接失败,打开 C:\phpstudy_pro\WWW\dvwa\config\config.inc.php
文件,修改 db_user
和 db_password
为小皮面板中 MySQL 的实际用户名和密码(默认多为 root
/root
),保存后重启 Apache 和 MySQL 服务。
进入登录页面
再次点击 Create / Reset Database
后,页面将显示登录入口(login)。
登录 DVWA
点击 login
进入登录页面,使用默认账号(用户名 admin
,密码 password
)登录,成功后进入 DVWA 主界面。
设置安全级别
找到 DVWA Security
选项栏,将安全级别从 Impossible
修改为 Low
,点击 Submit
保存。
验证 SQL 注入漏洞
进入 SQL Injection
栏目(SQL 注入测试页面),在 User ID
输入框中输入 1' or '1' '1
,点击 Submit
,可绕过限制查询到所有用户信息,验证靶机漏洞存在。
记录靶机 IP
在 Windows Server 2025 中,通过 ipconfig
命令查询本机 IP(示例:10.31.2.113
),用于后续 WAF 配置。
安装雷池 WAF
在 Ubuntu 终端中执行雷池官方自动安装脚本(脚本可参考官方文档),等待安装完成。
获取管理地址
安装完成后,终端会显示雷池 WAF 的管理页面网址、用户名和密码,记录该信息。
登录管理页面
在浏览器中输入管理地址,使用获取到的账号密码登录雷池 WAF 管理界面。
添加防护应用
进入“防护应用”页面,点击“添加”按钮,配置防护目标为 Windows Server 2025 的 IP(即 DVWA 靶机 IP),使访问靶机的流量经过 WAF 转发。
验证 WAF 与靶机连接
配置完成后,通过雷池 WAF 的 IP 地址访问 DVWA 靶机,确认可正常打开页面(此时流量已通过 WAF)。
WAF 拦截测试
在通过 WAF 访问的 DVWA SQL Injection
页面,输入注入语句 1'or'1'=1'
并点击 Submit
,观察到请求被雷池 WAF 拦截,页面显示拦截提示。
查看拦截记录
进入雷池 WAF 的“攻击防护”页面,可查看本次 SQL 注入攻击的详细拦截记录,包括攻击类型、时间、来源 IP、请求内容等信息。
雷池 WAF 能够有效识别并拦截 SQL 注入攻击,验证了其对 Web 应用层威胁的基础防护能力。通过本实验,可直观理解 WAF 的部署流程、配置方法及防护效果,为进一步学习网络安全防护技术奠定基础。
1
1
【需求】- 防护报告新增更多内容,可以针对单个应用跟某个应用组出报告
风中芥子
更新于 19 小时前
比如实时QPS图
防护报告生成时间,可以选择小时、分钟,而不是只能选择天
可以针对单个应用跟某个应用组出报告
1
1
希望在新增的频率限制支持针对不同 URL 路径设置独立策略中增加匹配规则
千里行商贸
更新于 15 小时前
希望在新增的频率限制支持针对不同 URL 路径设置独立策略中增加匹配规则,例如UA等
0
1