岳阳公司网站开发,服务器如何架设网站,新能源电动汽车排名前十名,最正规的购物平台文章目录 一、实验介绍二、实验环境准备三、验证实验环境四、Web ACLs 配置 AWS 托管规则4.1 Web ACLs 介绍4.2 Managed Rules 托管规则4.3 防护常见威胁类型#xff08;sql注入#xff0c;XSS#xff09;4.4 实验步骤4.4.1 创建Web ACL4.4.2 测试用例4.4.3 测试结果4… 文章目录 一、实验介绍二、实验环境准备三、验证实验环境四、Web ACLs 配置 AWS 托管规则4.1 Web ACLs 介绍4.2 Managed Rules 托管规则4.3 防护常见威胁类型sql注入XSS4.4 实验步骤4.4.1 创建Web ACL4.4.2 测试用例4.4.3 测试结果4.4.4 关联规则到创建的Web ACL4.4.5 验证 一、实验介绍
AWS WAFWeb Application Firewall是一种提供应用程序级别保护的安全服务旨在保护web应用程序免受网络攻击。AWS WAF可以有效地帮助用户抵御常见的网络攻击如跨站脚本XSS、SQL注入等。它允许用户创建自定义的安全规则以监控和控制应用程序收到的流量。这些规则可以基于多种条件包括IP地址、HTTP头部、HTTP正文、或者字符串匹配等来设置。
本实验将演示如何使用托管规则和自定义规则来抵御网络攻击。
二、实验环境准备 三、验证实验环境
验证Web页面访问点击CloudFormation堆栈选中堆栈PartnerEdgeWorkshop输出输出标签获得Cloudfront URL在浏览器中打开Cloudfront URL如下图所示。 此时已成功完成实验环境准备工作接下来将进入下一步Web ACL配置
四、Web ACLs 配置 AWS 托管规则
4.1 Web ACLs 介绍 Web ACL 是 AWS WAF 部署中的核心资源。它包含针对它收到的每个请求评估的规则。Web ACL 通过 Amazon CloudFront 分配、AWS API Gateway、AWS AppSync 或 Application Load Balancer 与您的 Web 应用程序关联。 4.2 Managed Rules 托管规则 托管规则组是 AWS 和 AWS Marketplace 卖家为您编写和维护的预定义、即用型规则的集合。 某些托管规则组旨在帮助保护特定类型的 Web 应用程序例如 WordPress、Joomla 或 PHP。其他漏洞则针对已知威胁或常见 Web 应用程序漏洞提供广泛的保护包括 OWASP Top 10 中列出的一些漏洞。如果您受 PCI 或 HIPAA 等法规遵从性的约束则可以使用托管规则组来满足 Web 应用程序防火墙要求。 AWS 提供了一系列托管规则组。三个示例是 Amazon IP 信誉列表、已知错误输入和核心规则集。 4.3 防护常见威胁类型sql注入XSS
4.4 实验步骤
4.4.1 创建Web ACL
打开 AWS WAF 控制台 。选择创建 Web ACL。将 Resource type 资源类型 设置为 CloudFront Distribution。创建名称 edge-workshop-acl 的Web ACL。CloudWatch metric name 同样设置为CloudWatch metric name。在关联的 AWS 资源部分中选择添加 AWS 资源。选择在初始化实验环境中创建的Cloudfront 分配然后选择 Add 添加。选择“下一步”并继续操作直到“创建 Web ACL”以完成任务。在Cloudfront 分配页面确认已关联WAF。 4.4.2 测试用例
#使用Cloudformation创建出的URL
export JUICESHOP_URLYour Juice Shop URL
export JUICESHOP_URLdjbryp4jxosx1.cloudfront.net# Sql注入语句
curl -X POST $JUICESHOP_URL -F userAND 11;# XSS攻击语句
curl -X POST $JUICESHOP_URL -F userscriptalertHello/alert/script4.4.3 测试结果
Sql注入和XSS都正常返回response 未被Waf Block。
!DOCTYPE htmlhtml langenheadmeta charsetutf-8titleOWASP Juice Shop/titlemeta namedescription contentProbably the most modern and sophisticated insecure web applicationmeta nameviewport contentwidthdevice-width, initial-scale1/head
body classmat-app-background bluegrey-lightgreen-themeapp-root/app-root
/body/html4.4.4 关联规则到创建的Web ACL
在web acl页面选择 Add rules 按钮。 添加 Core rule set该规则集将涵盖 Web 应用程序常见的各种漏洞。 添加 SQL database该数据库将提供规则来防止 SQL 数据库漏洞例如 SQL 注入。 添加 Known bad inputs该数据库将提供规则来防止 SQL 数据库漏洞例如 SQL 注入。 4.4.5 验证
执行步骤测试用例 中的攻击语句结果如下 证明WAF已经有效拦截sql注入和xss攻击。
