WebGoat验证WAF功能

拓扑
测试机A——waf——测试机A
说明：
1、测试机A上运行webgoat和webscarab
2、waf使用反向代理方式
3、测试机A访问waf地址，waf反向代理又回到测试机A
4、这样连接是为了让流量过一遍waf
5、测试机A配置本地localhost代理，端口是8008

image.png

测试
1、测试机访问webgoat
http://waf地址/WebGoat/attack 账号密码默认都是guest

image.png

2、打开webscarab，webscarab可以拦截请求，修改请求内容

image.png

3、根据测试用例完成waf测试，下图为SQL注入的拦截告警

image.png