宝塔waf---安装及使用

最近在做网络安全防护，采购waf防火墙，看到宝塔云WAF。

宝塔WAF各版本的差异及区别：

https://www.bt.cn/new/aawaf.html

各版本的差异：

记录一下使用：

首先是购买服务器：镜像使用Ubuntu 22.04 64位

安装方法：

https://www.kancloud.cn/kern123/cloudwaf/3198567

登录linux服务器：输入安装命令

URL=https://download.bt.cn/cloudwaf/scripts/install_cloudwaf.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_cloudwaf.sh "$URL";fi;bash install_cloudwaf.sh

回车安装即可：

然后就安装好了：

这里需要先到对应的安全组里面放行：8379  80 443 端口

 

然后去登录：

然后在右侧的网站列表里面，添加站点：

模拟攻击测试：

模拟 SQL 注入攻击: https://chaitin.com/?id=1+and+1=2+union+select+1
模拟 XSS 攻击: https://chaitin.com/?id=<img+src=x+onerror=alert()>
模拟路径穿越攻击: https://chaitin.com/?id=../../../../etc/passwd
模拟代码注入攻击: https://chaitin.com/?id=phpinfo();system('id')
模拟 XXE 攻击: https://chaitin.com/?id=<?xml+version="1.0"?><!DOCTYPE+foo+SYSTEM+"">

打完收工！