## Практическое задание 4 1) Используя стенд первой практической работы - изменить инфраструктуру в соответсвии со схемой. Главное условие - чтобы машинка с WAF была проксей для WEB-сервера, развернутого во время первой практической работы. Для начала увидели IP-адреса WAF и веб-сервера, рисунки 1 и 2 ниже.  Рисунок 1 - IP-адрес веб-сервера  Рисунок 2 - IP-адрес WAF Использовали WAF как прокси, рисунок 3 ниже.  Рисунок 3 Так же подняли докер на веб-сервере, рисунок 4 ниже.  Рисунок 4 2) Установить WAF (ModSecurity 3) на машинку c названием WAF, продемонстрировать что ранее развернутый web-сайт открывается при коннекте на машинку с WAF. Установили WAF и показали, что веб-сайт открывается при коннекте на WAF, рисунок 5 ниже.(в url видно ip-адрес WAF)  Рисунок 5 3) Настроить WAF c детектом OWASP top 10. Настроили WAF с детектом OWASP top 10, рисунок 6 и 7 ниже.  Рисунок 6 - Видно, что в директории rules находятся правила  Рисунок 7 - Добавили правила, которые находятся в директории rules 4) Провести 3 атаки из списка OWASP top 10 и продемонстрировать работоспособность WAF (должны быть сработки правил WAF). Первая атака SQLi, рисунок 8 ниже.  Рисунок 8 Увидели сработку правила, рисунок 9 ниже.  Рисунок 9 Вторая атака LFI, рисунок 10 ниже.  Рисунок 10 Увидели результат ошибки 403, рисунок 11 ниже.  Рисунок 11 Увидели сработку правила, рисунок 12 ниже.  Рисунок 12 Третья атака XSS, рисунок 13 ниже.  Рисунок 13 Увидели результат ошибки, рисунок 14 ниже.  Рисунок 14 Увидели сработку правила, рисунок 15 ниже.  Рисунок 15