【原创分享】防火墙web防护测试-暴力破解

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

一起来学习 一起来学习

每天坚持打卡学习签到！！

每天坚持打卡学习签到！！

每天坚持打卡学习签到！！

感谢分享，学习一下~

发布标题为#原创分享#的文章，可得S豆和现金奖励！

“当前已有100+用户参与分享，共计发放奖励50000+

‘

       前两天听同事说上了这么久的防火墙，知道有ips和waf功能，但是具体怎么防护的还是不清楚，于是就搭了个环境来测试一下防火墙的web防护功能。

这是一个pikachu靶场，首先来到暴力破解下的这个登录页面

一、没有防火墙防护

直接进行爆破，看到123456这里和其他的密码返回的长度不一样

使用admin 123456 登录成功

二、有防火墙，配置默认防护策略

在【策略】-【安全防护策略】中新增【业务防护策略】，选择好区域和对象，策略就选【web应用防护】，使用【默认模板Ⅱ】

再次爆破，然后在【业务安全】中查看风险业务

点击查看日志可以看到详细日志

防火墙上检测到的是弱口令，并没有拦截

三、配置口令防护策略

这里还需要单独配置策略，在【对象】-【WEB应用防护】中打开我们刚才选择的【默认模板Ⅱ】，点击【高级配置】

在【口令防护】中的【口令爆破防护】设置开启web登录，并添加上地址，这里的地址要填相对路径

然后我们重新开始爆破，可以看到在错了几次之后，就无法继续爆破了

再次查看防火墙日志，发现爆破行为已经被防火墙拦截了