waf测试工具-blazehttp-天翼云开发者社区

BlazeHTTP 是一款简单易用的 WAF 防护效果测试工具

样本丰富：目前总样本33669条，持续更新中...

无需配置：提供图形化界面和命令行版本，可直接通过 Release 下载预编译版本，也可以克隆代码本地自行编译

报告导出：导出所有样本的执行结果，包括样本属性，执行时间，状态码，是否拦截等

测试指标

指标描述统计方法

检出率用来反应 WAF 检测能力的全面性，没有检出即为 ”漏报“。攻击样本拦截数量

误报率用来反应对正常流量的干扰，不靠谱的结果即为 ”误报“。正常样本拦截数量

准确率准确率是检出率和误报率的综合指标，避免漏报和误报顾此失彼。

检测耗时用来反应 WAF 性能，耗时越大则性能越差。

样本示例

# 正常样本：testcases/00/02/5ebf56a710da27b73a9ad59219f0.white

GET /rc-virtual-list@3.5.2/lib/hooks/useHeights.js HTTP/1.1

Host: npm.staticblitz.com

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36

Accept: */*

Origin: https://stackblitz.com

Sec-Fetch-Site: cross-site

Sec-Fetch-Mode: cors

Sec-Fetch-Dest: empty

Referer: https://stackblitz.com/

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7

# 黑样本：testcases/8a/36/0bbc7685860c526e33f3cbd83f9c.black

GET /vulnerabilities/sqli_blind/?id=1%27+or+%27%27%3D%27&Submit=Submit HTTP/1.1

Host: 10.10.3.128

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7

Referer: http://10.10.3.128/vulnerabilities/sqli_blind/?id=1%27+and+%27%27%3D%27&Submit=Submit

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7

Connection: close

测试效果

指标	CloudFlare，免费版本	ModSecurity，PARANOIA级别1	ModSecurity，PARANOIA级别4	SafeLine，免费版本，平衡模式	SafeLine，免费版本，严格模式
总样本数量	33669	33669	33669	33669	33669
成功	33350	33669	33669	33669	33669
错误	319	0	0	0	0
检测率（越高越好）	10.70%（恶意样本总数：570，正确拦截：61，漏报：509）	69.74%（恶意样本总数：575，正确拦截：401，漏报：174）	94.61%（恶意样本总数：575，正确拦截：544，漏报：31）	71.65%（恶意样本总数：575，正确拦截：412，漏报：163）	76.17%（恶意样本总数：575，正确拦截：438，漏报：137）
误报率（越低越好）	0.07%（正常样本总数：32780，正确放行：32757，误报：23）	17.58%（正常样本总数：33094，正确放行：27275，误报：5819）	52.46%（正常样本总数：33094，正确放行：15732，误报：17362）	0.07%（正常样本总数：33094，正确放行：33071，误报：23）	0.22%（正常样本总数：33094，正确放行：33021，误报：73）
准确率（越高越好）	98.40%（正确拦截 + 正确放行）/ 总样本数量	82.20%（正确拦截 + 正确放行）/ 总样本数量	48.34%（正确拦截 + 正确放行）/ 总样本数量	99.45%（正确拦截 + 正确放行）/ 总样本数量	99.38%（正确拦截 + 正确放行）/ 总样本数量
平均时间	288.96 毫秒	31.15 毫秒	28.89 毫秒	70.05 毫秒	64.34 毫秒

本地编译

命令行版本

# 克隆代码

git clone https://github.com/chaitin/blazehttp.git && cd blazehttp

# 本地编译

bash build.sh # 执行后在 build 目录下看到 blazehttp

# 运行

./blazehttp -t https://example.org

GUI 版本

GUI 是基于 fyne实现。

# 克隆代码

git clone https://github.com/chaitin/blazehttp.git && cd blazehttp

# 本地运行

go run gui/main.go

BlazeHTTP 是一款简单易用的 WAF 防护效果测试工具

样本丰富：目前总样本33669条，持续更新中...

无需配置：提供图形化界面和命令行版本，可直接通过 Release 下载预编译版本，也可以克隆代码本地自行编译

报告导出：导出所有样本的执行结果，包括样本属性，执行时间，状态码，是否拦截等

测试指标

指标描述统计方法

检出率用来反应 WAF 检测能力的全面性，没有检出即为 ”漏报“。攻击样本拦截数量

误报率用来反应对正常流量的干扰，不靠谱的结果即为 ”误报“。正常样本拦截数量

准确率准确率是检出率和误报率的综合指标，避免漏报和误报顾此失彼。

检测耗时用来反应 WAF 性能，耗时越大则性能越差。

样本示例

# 正常样本：testcases/00/02/5ebf56a710da27b73a9ad59219f0.white

GET /rc-virtual-list@3.5.2/lib/hooks/useHeights.js HTTP/1.1

Host: npm.staticblitz.com

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36

Accept: */*

Origin: https://stackblitz.com

Sec-Fetch-Site: cross-site

Sec-Fetch-Mode: cors

Sec-Fetch-Dest: empty

Referer: https://stackblitz.com/

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7

# 黑样本：testcases/8a/36/0bbc7685860c526e33f3cbd83f9c.black

GET /vulnerabilities/sqli_blind/?id=1%27+or+%27%27%3D%27&Submit=Submit HTTP/1.1

Host: 10.10.3.128

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7

Referer: http://10.10.3.128/vulnerabilities/sqli_blind/?id=1%27+and+%27%27%3D%27&Submit=Submit

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7

Connection: close

测试效果

指标	CloudFlare，免费版本	ModSecurity，PARANOIA级别1	ModSecurity，PARANOIA级别4	SafeLine，免费版本，平衡模式	SafeLine，免费版本，严格模式
总样本数量	33669	33669	33669	33669	33669
成功	33350	33669	33669	33669	33669
错误	319	0	0	0	0
检测率（越高越好）	10.70%（恶意样本总数：570，正确拦截：61，漏报：509）	69.74%（恶意样本总数：575，正确拦截：401，漏报：174）	94.61%（恶意样本总数：575，正确拦截：544，漏报：31）	71.65%（恶意样本总数：575，正确拦截：412，漏报：163）	76.17%（恶意样本总数：575，正确拦截：438，漏报：137）
误报率（越低越好）	0.07%（正常样本总数：32780，正确放行：32757，误报：23）	17.58%（正常样本总数：33094，正确放行：27275，误报：5819）	52.46%（正常样本总数：33094，正确放行：15732，误报：17362）	0.07%（正常样本总数：33094，正确放行：33071，误报：23）	0.22%（正常样本总数：33094，正确放行：33021，误报：73）
准确率（越高越好）	98.40%（正确拦截 + 正确放行）/ 总样本数量	82.20%（正确拦截 + 正确放行）/ 总样本数量	48.34%（正确拦截 + 正确放行）/ 总样本数量	99.45%（正确拦截 + 正确放行）/ 总样本数量	99.38%（正确拦截 + 正确放行）/ 总样本数量
平均时间	288.96 毫秒	31.15 毫秒	28.89 毫秒	70.05 毫秒	64.34 毫秒

本地编译

命令行版本

# 克隆代码

git clone https://github.com/chaitin/blazehttp.git && cd blazehttp

# 本地编译

bash build.sh # 执行后在 build 目录下看到 blazehttp

# 运行

./blazehttp -t https://example.org

GUI 版本

GUI 是基于 fyne实现。

# 克隆代码

git clone https://github.com/chaitin/blazehttp.git && cd blazehttp

# 本地运行

go run gui/main.go

应用商城

合作伙伴

开发者

支持与服务

了解天翼云

waf测试工具-blazehttp

测试效果

waf测试工具-blazehttp

测试效果

活动

应用商城

合作伙伴

开发者

支持与服务

了解天翼云

waf测试工具-blazehttp

测试效果

waf测试工具-blazehttp

测试效果