Cara Menguji Proteksi WAF

Berikut cara praktisnya:

Biasanya log ada di:

Kalau rule aktif, setiap request yang diblok/diinspeksi akan muncul di log tersebut.

✅ Cara benar menjalankan curl test SQLi:

Gunakan ~~curl~~tanda kutip ganda, dan escape ' dengan %27 (URL encoding): ~~atau browser untuk mengetes. Misalnya:~~

~~SQL~~

~~Injection test~~

curl "http:https://yourdomain.com/waf.widianto.org/?id=1%27%20OR%20%271%27=%271"

👉 %27 = '
👉 %20 = spasi

curl 'https://waf.widianto.org/?id=1'"'"' OR '"'"'1'"'"'='"'"'1'

(Jelek tapi works di bash 😅)

curl -G --data-urlencode "id=1' OR '1'='1" "https://waf.widianto.org/"

Di log (audit.log), rule yang kemungkinan terpicu:
- 942100 → SQL Injection Attack Detected via libinjection
- 942110 → Detects SQL meta-characters like '
- 949110 → Inbound anomaly score exceeded

👉 Jika WAF aktif, harusnya request ini di-block (403 Forbidden).

curl "http://yourdomain.com/?q=<script>alert(1)</script>"

👉 WAF akan mendeteksi pola <script> dan blok request.

curl "http://yourdomain.com/?file=../../etc/passwd"

Kalau kamu masih mau mode monitoring, aktifkan DetectionOnly:

SecRuleEngine DetectionOnly

Nanti request tidak diblok, tapi akan tetap tercatat di log. Cocok untuk uji awal.

Kalau proteksi aktif, biasanya:

Untuk memastikan WAF tidak terlalu ketat:

Akses normal (misalnya curl http://yourdomain.com/) harus sukses (200 OK).
Payload berbahaya harus ditolak (403/blocked).

👉 Jadi langkah termudah:

~~Mau saya buatkan~~ ~~script otomatis (bash)~~ ~~untuk menguji beberapa payload sekaligus supaya lebih cepat?~~