【原创分享】防火墙web防护测试-暴力破解

发布标题为#原创分享#的文章，可得S豆和现金奖励！

“当前已有100+用户参与分享，共计发放奖励50000+

‘

       前两天听同事说上了这么久的防火墙，知道有ips和waf功能，但是具体怎么防护的还是不清楚，于是就搭了个环境来测试一下防火墙的web防护功能。

这是一个pikachu靶场，首先来到暴力破解下的这个登录页面

一、没有防火墙防护

直接进行爆破，看到123456这里和其他的密码返回的长度不一样

使用admin 123456 登录成功

二、有防火墙，配置默认防护策略

在【策略】-【安全防护策略】中新增【业务防护策略】，选择好区域和对象，策略就选【web应用防护】，使用【默认模板Ⅱ】

再次爆破，然后在【业务安全】中查看风险业务

点击查看日志可以看到详细日志

防火墙上检测到的是弱口令，并没有拦截

三、配置口令防护策略

这里还需要单独配置策略，在【对象】-【WEB应用防护】中打开我们刚才选择的【默认模板Ⅱ】，点击【高级配置】

在【口令防护】中的【口令爆破防护】设置开启web登录，并添加上地址，这里的地址要填相对路径

然后我们重新开始爆破，可以看到在错了几次之后，就无法继续爆破了

再次查看防火墙日志，发现爆破行为已经被防火墙拦截了

感谢楼主的分享，可见楼主对web暴力破解的防护方法已经有了很深入的了解，条例清晰，思路很明朗。这里有个小建议，如果能对brupsuite做一个简单地小介绍，读者会更加的清晰明了。

通过实例的方式明确防火墙针对暴力破解的整体安全防护效果和能力，可以和客户更好的传递价值

一起来学习 一起来学习

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

感谢分享

太厉害了，这波操作点个赞

实用的功能，以前只知道默认策略

学习一下

铭总带带我学习。