文章总结： 本文实测雷池WAF对Hackshop靶场的防护效果。CC攻击需配合自定义规则针对登录接口限流，但IP代理池可绕过；SQL注入及文件读取等传统Web攻击被有效拦截。结论是WAF能防御常见漏洞及扫描器，但无法覆盖业务逻辑漏洞，建议结合人工测试或IAST手段。 综合评分： 88 文章分类： 渗透测试,产品介绍,WEB安全

然后我再次重复“身份认证DDOS”，WAF直接拦截了

去雷池控制台查看CC防护日志，测试ip:5.34.216.213被拦截

当然，waf也不是万能的，这种情况下使用ip代理池就可以绕过，比如我切换一个ip，就能正常访问/auth/user/login了

归根到底，安全攻防本质还是成本对抗，比如攻击hackshop系统获得的价值远远大于我购买ip代理池的成本。

接下来再测试一下传统web攻击的拦截

2、 sql注入

or 1, and 1被拦截了

3、任意文件读取

在上一篇文章中，我演示了后台批量导入商品的ssrf漏洞，读取到了/etc/passwd

但加了waf后，被拦截了。

去雷池控制台看下日志，触发拦截的payload

可以看到，file:///etc/passwd触发了waf拦截。

最后我说下雷池社区版的体验吧，对于传统的web攻击，比如sql注入、xss、文件读取这些攻击荷载都能检测并拦截，同时也支持CC防护。、

但缺少某些业务逻辑漏洞的防护，这也是所有waf无法解决的一个痛点，比如条件竞争(一码多换）、HOST注入(任意账号密码重置）。

上了waf总比不上要好的多，至少可以把web漏洞扫描器给拦截掉。而业务逻辑漏洞的防护，或许只能靠src白帽子来发现了吧（iast也许能做到部分业务逻辑漏洞的检测，但这么多年了，真有人敢在product环境用iast吗？）

感兴趣的朋友可以加入雷池官方社群，有任何问题都可以在群内提问，技术人员24小时解答，群内也会不定时发放福利活动，快快加入！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息安全笔记 信息安全笔记 信息安全笔记《雷池waf防护hackshop实测》