WAF Demo 架构

一、架构

搭建了一个简单的三层架构，与以往不同的是，加上了 AWS WAF 产品，用户访问 cms.xushengjin.cn 时候，DNS 把流量转发到 ALB 中，ALB 把流量给到 WAF 做规则评估，如果为 ALLOW 就由 ALB 发送给 EC2、如果评估为 Block 结果，就 ALB 拒绝转发流量到 EC2 上

二、进行一些常用攻击测试

进行一下几种攻击测试，并在开启和关闭 WAF 做个对比

SQL 注入
XSS 攻击
Bot 机器人攻击

WAF 托管规则

Name

Action

Priority

Custom response

AWS-AWSManagedRulesCommonRuleSet

Use rule actions

AWS-AWSManagedRulesSQLiRuleSet

Use rule actions

防止 SQL 注入

三、攻击测试案例

被攻击 URL

export CMS_URL="cms.xushengjin.cn"

XSS 攻击

# 这模仿了跨站点脚本攻击
# 应阻止此请求。
curl -X POST  $CMS_URL -F "user='<script><alert>Hello></alert></script>'"

SQL 注入

# 这模仿了SQL注入攻击
# 应阻止此请求。
curl -X POST $CMS_URL -F "user='AND 1=1;DROP TABLE users;"

Previous常用 Web 攻击方式 Next京东云 WAF SQL 注入

Last updated 2 years ago