AWS WAF在使用时,需要与其他AWS服务结合(CloudFront、ALB、API Gateway), 这些服务背后部署着web应用。
所以,测试WAF需要提前部署好web应用。在这个Workshop中将使用OWASP Juice Shop(https://owasp.org/www-project-juice-shop/)。Juice Shop是一个含有安全漏洞的web应用, 关于漏洞的详细细节可参考 https://pwning.owasp-juice.shop/
选择一个区域来部署示例Web应用,点击下表中的相应链接:
Region | Launch Template |
---|---|
US East (N. Virginia) (us-east-1) | 部署链接 |
US East (Ohio) (us-east-2) | 部署链接 |
US West(Oregon) (us-west-2) | 部署链接 |
EU (Ireland) (eu-west-1) | 部署链接 |
EU (London) (eu-west-2) | 部署链接 |
在创建时,默认参数不用做修改。最后,创建IAM资源相关的选项打上钩,点击创建,此CloudFormation大约需要5分钟部署完成,部署完成后状态为CREATE_COMPLETE
。
在CloudFormation模板输出中找到JuiceShopUrl
的值, 这是Juice Shop网站的地址:
在Cloud9终端中设置JUICESHOP_URL
环境变量。将使用此变量, 对AWS WAF运行测试请求。
JUICESHOP_URL=<Your JuiceShopUrl CloudFormation Output>
本Workshop将进行一系列网络攻击挑战