创建Juice Shop应用
Juice Shop
AWS WAF在使用时,需要与其他AWS服务结合(CloudFront、ALB、API Gateway), 这些服务背后部署着web应用。
所以,测试WAF需要提前部署好web应用。在这个Workshop中将使用OWASP Juice Shop(https://owasp.org/www-project-juice-shop/)。Juice Shop是一个含有安全漏洞的web应用, 关于漏洞的详细细节可参考 https://pwning.owasp-juice.shop/
部署web应用
选择一个区域来部署示例Web应用,点击下表中的相应链接:
| Region | Launch Template |
|---|---|
| US East (N. Virginia) (us-east-1) | 部署链接 |
| US East (Ohio) (us-east-2) | 部署链接 |
| US West(Oregon) (us-west-2) | 部署链接 |
| EU (Ireland) (eu-west-1) | 部署链接 |
| EU (London) (eu-west-2) | 部署链接 |
在创建时,默认参数不用做修改。最后,创建IAM资源相关的选项打上钩,点击创建,此CloudFormation大约需要5分钟部署完成,部署完成后状态为CREATE_COMPLETE。
在CloudFormation模板输出中找到JuiceShopUrl的值, 这是Juice Shop网站的地址:
在Cloud9终端中设置“ JUICESHOP_URL”环境变量。将使用此变量, 对AWS WAF运行测试请求。
JUICESHOP_URL=<Your JuiceShopUrl CloudFormation Output>
本Workshop将进行一系列网络攻击挑战
可参考 AWS WAF文档 来了解WAF的功能