前言

前几天我有幸拿到EO的标准版一个月,很多小伙伴肯定有很多疑惑,标准版和个人版多了那些功能以及强在哪里。我们这就来测试一下他们的安全性以及标准版开放的功能如何。

准备

这里用腾讯云轻量云来做一个简单的wp站点来测试eo。cname接入的。

开始测试

eo的标准版和个人的ddos防御也没有差别。我用一些免费的测压工具进行测试一下。

eo的标准版测试结果

测试工具的页面

测试期间无任何压力打开。我的轻量机器也没有提示被攻击的通知,防御还是很有效的。

eo的个人版的测试结果

总结:可以看到攻击都是正常防护下来了。我没有更高的测试工具测试不出来。根据文档说明理论是一样的防御。

模仿漏洞攻击

使用url方式模仿攻击

  • 模拟 SQL 注入攻击: https://demo.com/?id=1+and+1=2+union+select+1
  • 模拟 XSS 攻击: https://demo.com/?id=<img+src=x+onerror=alert()>
  • 模拟路径穿越攻击: https://demo.com/?id=../../../../etc/passwd
  • 模拟代码注入攻击: https://demo.com/?id=phpinfo();system('id')
  • 模拟 XXE 攻击: https://demo.com/?id=<?xml+version="1.0"?><!DOCTYPE+foo+SYSTEM+"">

标准版把所有拦截都打开均可以正常拦截

个人版没有那么多的拦截,只有免费的一项。个人版的请求都穿过eo被1panel拦截了。追求waf安全功能我建议还是用标准版

标准版与其他waf工具相比较

我这边用开源的BlazeHTTP进行测试宝塔waf的防护以及eo的防护。

宝塔waf测试结果

eo防御测试结果

我们可以看到与宝塔相比较相差不是很多。但还是比宝塔好一些。顺便在贴出其他waf的测试结果。

总体来说eo的防御还是很不错的。具有ddos的防御还有waf的加持,安全保障让人很放心,而且它部署起来很方便。支持dns和cname接入。