---
title: WEB basic-Криворученко_Савелий-Практика_4
tags: WEB basic
description: Use `{%hackmd theme-dark %}` syntax to include this theme.
---
<style>
html, body, .ui-content {
background-color: #333;
color: #ddd;
}
.markdown-body h1,
.markdown-body h2,
.markdown-body h3,
.markdown-body h4,
.markdown-body h5,
.markdown-body h6 {
color: #ddd;
}
.markdown-body h1,
.markdown-body h2 {
border-bottom-color: #ffffff69;
}
.markdown-body h1 .octicon-link,
.markdown-body h2 .octicon-link,
.markdown-body h3 .octicon-link,
.markdown-body h4 .octicon-link,
.markdown-body h5 .octicon-link,
.markdown-body h6 .octicon-link {
color: #fff;
}
.markdown-body img {
background-color: transparent;
}
.ui-toc-dropdown .nav>.active:focus>a, .ui-toc-dropdown .nav>.active:hover>a, .ui-toc-dropdown .nav>.active>a {
color: white;
border-left: 2px solid white;
}
.expand-toggle:hover,
.expand-toggle:focus,
.back-to-top:hover,
.back-to-top:focus,
.go-to-bottom:hover,
.go-to-bottom:focus {
color: white;
}
.ui-toc-dropdown {
background-color: #333;
}
.ui-toc-label.btn {
background-color: #191919;
color: white;
}
.ui-toc-dropdown .nav>li>a:focus,
.ui-toc-dropdown .nav>li>a:hover {
color: white;
border-left: 1px solid white;
}
.markdown-body blockquote {
color: #bcbcbc;
}
.markdown-body table tr {
background-color: #5f5f5f;
}
.markdown-body table tr:nth-child(2n) {
background-color: #4f4f4f;
}
.markdown-body code,
.markdown-body tt {
color: #eee;
background-color: rgba(230, 230, 230, 0.36);
}
a,
.open-files-container li.selected a {
color: #5EB7E0;
}
</style>
# WEB basic-Криворученко_Савелий-Практика_4
<a name="headers"><h2>Web Application Firewall </h2></a>
| Задания |
|---|
- [ ] Используя стенд первой практической работы - изменить инфраструктуру в соответсвии со схемой. Главное условие - чтобы машинка с WAF была проксей для WEB-сервера, развернутого во время первой практической работы
- [ ] Установить WAF (ModSecurity 3) на машинку c названием WAF, продемонстрировать что ранее развернутый web-сайт открывается при коннекте на машинку с WAF
- [ ] Настроить WAF c детектом OWASP top 10
- [ ] Провести 3 атаки из списка OWASP top 10 и продемонстрировать работоспособность WAF (должны быть сработки правил WAF)
<a name="headers"><h2> </h2></a>
|Стенд в VMWARE|
|---|
|WEB-MACHINE|
||
||
|WAF_MACHINE|
||
||
---
|Установка WAF|
|---|
|nginx |
|---|
||
|Clone ModSecurity|
|
|ModSecurity-nginx Connector|
|
|
|nginx.conf
|
|/etc/nginx/modsec/modsecurity.conf|
|
|
|/etc/nginx/modsec/modsec-config.conf|
|
|work? -Yes
|
---
|Установка OWASP|
|---|
|OWASP CRS 3.3.2 archive скачаем и распакуем|
|---|
||
|
---
```
В vmware не получилось настроить сеть,
перешел на VB и провернул те же действия
Добавив Honey
Открыл дополнительно работу, в которой сделал действия в VB
Мне кажется, это просто не так важно
```
|Optional – Include Project Honeypot|
|---|
|
|
||
|Стенд|
|---|
||
|
|
|Настроим прокси на WAF|
|---|
|Конф. машин|
|---|
|WAF|
|
|WEB|
|
|WAF|
||
|Зайдем c хостовой машины и проведем атаки|
|---|
||
|SQL - Injection|
|
|Логи неудачной попытки|
|
|Path Traversal|
||
|Аналогично 3 лабы заменил название картинки на папку паролей. Ниже логи неудачного взлома|
|
|XSS|
||
|
Sign in with Wallet
Connect another wallet