长亭百川云

长亭百川云

技术讨论长亭漏洞情报库IP 威胁情报SLA在线工具
热门产品
雷池 WAF 社区版
IP 威胁情报
网站安全监测
百川漏扫服务
云堡垒机
百川云
技术文档
开发工具
长亭漏洞情报库
网安百科
安全社区
CT STACK 安全社区
雷池社区版
XRAY 扫描工具
长亭科技
长亭科技官网
万众合作伙伴商城
长亭 BBS 论坛
友情链接
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备2024055124号-2

长亭百川云

热门应用
查看更多
雷池 WAF 社区版
IP 威胁情报
网站安全监测
SSL 证书服务
https://rivers-collie.oss-accelerate.aliyuncs.com/cyber-wiki-prod/image/952d39f311aa1c4c23f32968b7cd45a1.png
雷池 WAF 社区版
智能语义算法 · 开箱即用 · 高性能高可用性
应用介绍
https://rivers-collie.oss-accelerate.aliyuncs.com/cyber-wiki-prod/image/ee8f2918e4d99d17f219cb46ec806fde.png
IP 威胁情报
IP 画像查询 · IP 库订阅 · 4 大应用场景
应用介绍
https://rivers-collie.oss-accelerate.aliyuncs.com/cyber-wiki-prod/image/5f3debe40bd86b430564010c75b2cb41.png
网站安全监测
敏感词监控 · 篡改监控 · 恶意链接 · 挂马监控
应用介绍
https://rivers-collie.oss-accelerate.aliyuncs.com/cyber-wiki-prod/image/4c6052bcaddaa7698c0257719b76cef2.png
SSL 证书服务
快速颁发 · 证书监控 · 极高性价比 · DV-OV-EV
应用介绍

热门讨论

查看更多

GitHub 登陆失败

头像

Jsy

更新于 6 小时前

github 登陆配置了相关内容,能拉起到GitHub认证,回调回来提示 未知错误: get user info failed

# 雷池 WAF
# BUG

0

3

雷池bug,钉钉登录后会携带手机号姓名等信息

头像

烨

更新于 7 小时前

图片.png
图片.png
手机号、姓名、邮箱均有,手机号未脱敏

# 雷池 WAF
# bug
# 信息泄露

0

2

入门必备:安装步骤详解与基础攻击测试案例

头像

Fovik.

更新于 12 小时前

入门必备:Web 应用防火墙(雷池 WAF)安装与 SQL 注入测试实验指南

一、实验背景与目标

1. 背景

随着数字化进程加速,网络攻击手段(如恶意代码注入、跨站脚本攻击、SQL 注入、DDoS 攻击等)日益多样化,对网站运行安全、用户数据隐私及企业声誉构成严重威胁。
Web 应用防火墙(WAF)作为针对 Web 应用层威胁的核心防护工具,能够实时监测并拦截恶意请求,有效弥补传统网络防火墙在应用层防护的不足,是保障网站安全的关键环节。

2. 实验目标

通过搭建靶机与 WAF 环境,模拟 SQL 注入攻击,测试雷池 WAF 的拦截效果,验证其基础防护能力。

二、实验环境准备

环境/工具具体说明下载地址
靶机操作系统Windows Server 2025Windows Server 2025
WAF 操作系统UbuntuUbuntu
服务器管理工具小皮面板(phpstudy)小皮面板
靶机应用DVWA(SQL 注入测试靶场)DVWA
Web 应用防火墙雷池 WAF(通过官方脚本安装)-

三、实验步骤

(一)Windows Server 2025 搭建 DVWA 靶机

  1. 准备安装包
    提前下载并存放小皮面板和 DVWA 的安装包,确保文件可正常访问。
    image-20250714142055808

  2. 安装小皮面板并部署 DVWA
    运行小皮面板安装包,按照向导完成安装;安装完成后开始搭建 DVWA 靶机环境。
    image-20250714142307595

  3. 放置 DVWA 文件夹
    安装完成后,找到路径 C:\phpstudy_pro\WWW,将解压后的 DVWA 文件夹复制到该目录下。
    image-20250714142501189

  4. 启动服务
    打开小皮面板,在“首页”找到 Apache 和 MySQL 服务,点击“启动”按钮开启服务。
    image-20250714142601169

  5. 修改 DVWA 配置文件
    定位到路径 C:\phpstudy_pro\WWW\dvwa\config,找到 config.inc.php.dist 文件,删除文件名后的 .dist 后缀,使其变为 config.inc.php。
    image-20250714142745526

  6. 访问 DVWA 初始页面
    在浏览器地址栏输入 http://localhost/dvwa,进入 DVWA 初始化页面。
    image-20250714142906986

  7. 创建数据库
    滚动到页面底部,点击 Create / Reset Database 按钮,初始化 DVWA 数据库。
    image-20250714143021380

  8. 解决数据库连接问题(若出现)
    若提示数据库连接失败,打开 C:\phpstudy_pro\WWW\dvwa\config\config.inc.php 文件,修改 db_user 和 db_password 为小皮面板中 MySQL 的实际用户名和密码(默认多为 root/root),保存后重启 Apache 和 MySQL 服务。
    image-20250714143811072

  9. 进入登录页面
    再次点击 Create / Reset Database 后,页面将显示登录入口(login)。
    image-20250714143951800

  10. 登录 DVWA
    点击 login 进入登录页面,使用默认账号(用户名 admin,密码 password)登录,成功后进入 DVWA 主界面。
    image-20250714144136611

  11. 设置安全级别
    找到 DVWA Security 选项栏,将安全级别从 Impossible 修改为 Low,点击 Submit 保存。
    image-20250714144234003

  12. 验证 SQL 注入漏洞
    进入 SQL Injection 栏目(SQL 注入测试页面),在 User ID 输入框中输入 1' or '1' '1,点击 Submit,可绕过限制查询到所有用户信息,验证靶机漏洞存在。
    image-20250714144610581

  13. 记录靶机 IP
    在 Windows Server 2025 中,通过 ipconfig 命令查询本机 IP(示例:10.31.2.113),用于后续 WAF 配置。
    image-20250714145734155

(二)Ubuntu 搭建雷池 WAF

  1. 安装雷池 WAF
    在 Ubuntu 终端中执行雷池官方自动安装脚本(脚本可参考官方文档),等待安装完成。
    image-20250714150846193

  2. 获取管理地址
    安装完成后,终端会显示雷池 WAF 的管理页面网址、用户名和密码,记录该信息。
    image-20250714152108173

  3. 登录管理页面
    在浏览器中输入管理地址,使用获取到的账号密码登录雷池 WAF 管理界面。
    image-20250714152248839

  4. 添加防护应用
    进入“防护应用”页面,点击“添加”按钮,配置防护目标为 Windows Server 2025 的 IP(即 DVWA 靶机 IP),使访问靶机的流量经过 WAF 转发。
    image-20250714152745264

  5. 验证 WAF 与靶机连接
    配置完成后,通过雷池 WAF 的 IP 地址访问 DVWA 靶机,确认可正常打开页面(此时流量已通过 WAF)。
    image-20250714152857075

四、SQL 注入攻击测试

  1. WAF 拦截测试
    在通过 WAF 访问的 DVWA SQL Injection 页面,输入注入语句 1'or'1'=1' 并点击 Submit,观察到请求被雷池 WAF 拦截,页面显示拦截提示。
    image-20250714153057551
    image-20250714153104967

  2. 查看拦截记录
    进入雷池 WAF 的“攻击防护”页面,可查看本次 SQL 注入攻击的详细拦截记录,包括攻击类型、时间、来源 IP、请求内容等信息。
    image-20250714153236116

五、实验结论

雷池 WAF 能够有效识别并拦截 SQL 注入攻击,验证了其对 Web 应用层威胁的基础防护能力。通过本实验,可直观理解 WAF 的部署流程、配置方法及防护效果,为进一步学习网络安全防护技术奠定基础。

至此,本教程到此结束!

# 雷池 WAF
# 雷池技术博客投稿

1

1

【需求】- 防护报告新增更多内容,可以针对单个应用跟某个应用组出报告

头像

风中芥子

更新于 19 小时前

比如实时QPS图
防护报告生成时间,可以选择小时、分钟,而不是只能选择天
可以针对单个应用跟某个应用组出报告

# 雷池 WAF

1

1

雷池规则广场:禁止境外访问

头像

Walter杨

更新于 13 小时前

规则地址

规则库说明

禁止境外访问

# 雷池 WAF

0

1

希望在新增的频率限制支持针对不同 URL 路径设置独立策略中增加匹配规则

头像

千里行商贸

更新于 15 小时前

希望在新增的频率限制支持针对不同 URL 路径设置独立策略中增加匹配规则,例如UA等

# 雷池 WAF

0

1

IP 威胁情报

查看更多

当前 IP

查看 IP 风险画像
地理信息
ISP
运营商
最后更新时间
-

长亭漏洞情报库

查看更多
契约锁-电子签章系统 pdfverifier 远程代码执行漏洞
泛微e-cology 前台SQL注入漏洞
Redis hyperloglog 远程代码执行漏洞
浪潮GSP企业管理软件 PayOrderSrv.asmx 远程代码执行漏洞
浪潮GSP企业管理软件 srbbdefineservice.asmx 远程代码执行漏洞
紫光电子档案管理系统 System/WorkFlow/download.html 任意文件读取漏洞
金蝶 EAS Cloud autoLogin.jsp 远程代码执行漏洞
汉王e脸通综合管理平台 meetingFileManage.do SQL注入漏洞
爱数-AnyShare start_service 远程命令执行漏洞
Sudo 权限提升漏洞
雷池 WAF 社区版
智能语义算法 · 开箱即用 · 高性能高可用性
应用文档
IP 威胁情报
IP 画像查询 · IP 库订阅 · 4 大应用场景
应用文档
网站安全监测
敏感词监控 · 篡改监控 · 恶意链接 · 挂马监控
应用文档
SSL 证书服务
快速颁发 · 证书监控 · 极高性价比 · DV-OV-EV
应用文档

GitHub 登陆失败

头像

Jsy

更新于 6 小时前

github 登陆配置了相关内容,能拉起到GitHub认证,回调回来提示 未知错误: get user info failed

# 雷池 WAF
# BUG

0

3

雷池bug,钉钉登录后会携带手机号姓名等信息

头像

烨

更新于 7 小时前

图片.png
图片.png
手机号、姓名、邮箱均有,手机号未脱敏

# 雷池 WAF
# bug
# 信息泄露

0

2

入门必备:安装步骤详解与基础攻击测试案例

头像

Fovik.

更新于 12 小时前

入门必备:Web 应用防火墙(雷池 WAF)安装与 SQL 注入测试实验指南

一、实验背景与目标

1. 背景

随着数字化进程加速,网络攻击手段(如恶意代码注入、跨站脚本攻击、SQL 注入、DDoS 攻击等)日益多样化,对网站运行安全、用户数据隐私及企业声誉构成严重威胁。
Web 应用防火墙(WAF)作为针对 Web 应用层威胁的核心防护工具,能够实时监测并拦截恶意请求,有效弥补传统网络防火墙在应用层防护的不足,是保障网站安全的关键环节。

2. 实验目标

通过搭建靶机与 WAF 环境,模拟 SQL 注入攻击,测试雷池 WAF 的拦截效果,验证其基础防护能力。

二、实验环境准备

环境/工具具体说明下载地址
靶机操作系统Windows Server 2025Windows Server 2025
WAF 操作系统UbuntuUbuntu
服务器管理工具小皮面板(phpstudy)小皮面板
靶机应用DVWA(SQL 注入测试靶场)DVWA
Web 应用防火墙雷池 WAF(通过官方脚本安装)-

三、实验步骤

(一)Windows Server 2025 搭建 DVWA 靶机

  1. 准备安装包
    提前下载并存放小皮面板和 DVWA 的安装包,确保文件可正常访问。
    image-20250714142055808

  2. 安装小皮面板并部署 DVWA
    运行小皮面板安装包,按照向导完成安装;安装完成后开始搭建 DVWA 靶机环境。
    image-20250714142307595

  3. 放置 DVWA 文件夹
    安装完成后,找到路径 C:\phpstudy_pro\WWW,将解压后的 DVWA 文件夹复制到该目录下。
    image-20250714142501189

  4. 启动服务
    打开小皮面板,在“首页”找到 Apache 和 MySQL 服务,点击“启动”按钮开启服务。
    image-20250714142601169

  5. 修改 DVWA 配置文件
    定位到路径 C:\phpstudy_pro\WWW\dvwa\config,找到 config.inc.php.dist 文件,删除文件名后的 .dist 后缀,使其变为 config.inc.php。
    image-20250714142745526

  6. 访问 DVWA 初始页面
    在浏览器地址栏输入 http://localhost/dvwa,进入 DVWA 初始化页面。
    image-20250714142906986

  7. 创建数据库
    滚动到页面底部,点击 Create / Reset Database 按钮,初始化 DVWA 数据库。
    image-20250714143021380

  8. 解决数据库连接问题(若出现)
    若提示数据库连接失败,打开 C:\phpstudy_pro\WWW\dvwa\config\config.inc.php 文件,修改 db_user 和 db_password 为小皮面板中 MySQL 的实际用户名和密码(默认多为 root/root),保存后重启 Apache 和 MySQL 服务。
    image-20250714143811072

  9. 进入登录页面
    再次点击 Create / Reset Database 后,页面将显示登录入口(login)。
    image-20250714143951800

  10. 登录 DVWA
    点击 login 进入登录页面,使用默认账号(用户名 admin,密码 password)登录,成功后进入 DVWA 主界面。
    image-20250714144136611

  11. 设置安全级别
    找到 DVWA Security 选项栏,将安全级别从 Impossible 修改为 Low,点击 Submit 保存。
    image-20250714144234003

  12. 验证 SQL 注入漏洞
    进入 SQL Injection 栏目(SQL 注入测试页面),在 User ID 输入框中输入 1' or '1' '1,点击 Submit,可绕过限制查询到所有用户信息,验证靶机漏洞存在。
    image-20250714144610581

  13. 记录靶机 IP
    在 Windows Server 2025 中,通过 ipconfig 命令查询本机 IP(示例:10.31.2.113),用于后续 WAF 配置。
    image-20250714145734155

(二)Ubuntu 搭建雷池 WAF

  1. 安装雷池 WAF
    在 Ubuntu 终端中执行雷池官方自动安装脚本(脚本可参考官方文档),等待安装完成。
    image-20250714150846193

  2. 获取管理地址
    安装完成后,终端会显示雷池 WAF 的管理页面网址、用户名和密码,记录该信息。
    image-20250714152108173

  3. 登录管理页面
    在浏览器中输入管理地址,使用获取到的账号密码登录雷池 WAF 管理界面。
    image-20250714152248839

  4. 添加防护应用
    进入“防护应用”页面,点击“添加”按钮,配置防护目标为 Windows Server 2025 的 IP(即 DVWA 靶机 IP),使访问靶机的流量经过 WAF 转发。
    image-20250714152745264

  5. 验证 WAF 与靶机连接
    配置完成后,通过雷池 WAF 的 IP 地址访问 DVWA 靶机,确认可正常打开页面(此时流量已通过 WAF)。
    image-20250714152857075

四、SQL 注入攻击测试

  1. WAF 拦截测试
    在通过 WAF 访问的 DVWA SQL Injection 页面,输入注入语句 1'or'1'=1' 并点击 Submit,观察到请求被雷池 WAF 拦截,页面显示拦截提示。
    image-20250714153057551
    image-20250714153104967

  2. 查看拦截记录
    进入雷池 WAF 的“攻击防护”页面,可查看本次 SQL 注入攻击的详细拦截记录,包括攻击类型、时间、来源 IP、请求内容等信息。
    image-20250714153236116

五、实验结论

雷池 WAF 能够有效识别并拦截 SQL 注入攻击,验证了其对 Web 应用层威胁的基础防护能力。通过本实验,可直观理解 WAF 的部署流程、配置方法及防护效果,为进一步学习网络安全防护技术奠定基础。

至此,本教程到此结束!

# 雷池 WAF
# 雷池技术博客投稿

1

1

【需求】- 防护报告新增更多内容,可以针对单个应用跟某个应用组出报告

头像

风中芥子

更新于 19 小时前

比如实时QPS图
防护报告生成时间,可以选择小时、分钟,而不是只能选择天
可以针对单个应用跟某个应用组出报告

# 雷池 WAF

1

1

雷池规则广场:禁止境外访问

头像

Walter杨

更新于 13 小时前

规则地址

规则库说明

禁止境外访问

# 雷池 WAF

0

1

希望在新增的频率限制支持针对不同 URL 路径设置独立策略中增加匹配规则

头像

千里行商贸

更新于 15 小时前

希望在新增的频率限制支持针对不同 URL 路径设置独立策略中增加匹配规则,例如UA等

# 雷池 WAF

0

1

查看更多