教你用免费的hihttps开源WEB应用防火墙阻止暴力破解密码

最新推荐文章于 2024-07-19 19:29:01 发布
最新推荐文章于 2024-07-19 19:29:01 发布
阅读量3k 收藏 3
点赞数
分类专栏: web应用防火墙 文章标签: web应用防火墙 暴力破解密码 hihttps
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/corpcorp/article/details/102483472
版权 
很多企业都有自己的网站,需要用户登录后才能访问,但有大量的黑客攻击软件可以暴力破解网站密码,即使破解不了也非常恶心。有没有免费的解决办法呢?天本文就是以centos 7服务器为例,教大家怎样用免费的hihttps开源WEB应用防火墙,来阻止黑客暴力破解网站密码。

一、下载源码编译
hihttps是一款完整源码的高性能SSL WEB应用防火墙( SSL WAF),采用epoll模式支持高并发,并且兼容ModSecurity正则规则。访问官网http://www.hihttps.com或者github上搜索hihttps,下载最新源码。
centos首先需要安装OpenSSL和libpcre两个开发库
yum install openssl openssl-devel
yum install -y pcre pcre-devel
然后解压源码到任意目录,直接make即可在当前目录生成可执行文件hihttps

二、配置
打开config.cfg文件,通常是hihttps前端运行443(https)端口,后端反向代理80端口。所以,如果你的WEB服务器已经占用了443端口,请停用或者修改为其他端口。如下设置即可:

前端SSL绑定的端口,默认443,注意不要冲突了

frontend = {
host = ""
port = “443”
}
backend = “[127.0.0.1]:80” # 后端默认反向连接80端口
#证书文件,建议设置绝对路径
pem-file = “server.pem”*

三、规则加载
规则放在和hihttps同一级的rules目录即可,注意后缀是.conf或者.rule, 默认已经开启了DDOS & CC以及暴力破解密码防御规则,打开REQUEST-20-APPLICATION-CC-DDOS.conf这个文件,找到这条规则:

SecRule DDOS “@rx login”
"id:20,
phase:2,
block,
capture,
t:none,t:urlDecodeUni,t:lowercase,
msg:‘LOGIN Brute Force Password test’,
logdata:‘Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}’,
tag:‘application-multi’,
tag:‘language-php’,
tag:‘platform-multi’,
tag:‘attack-injection-php’,
tag:‘OWASP_CRS/WEB_ATTACK/PHP_INJECTION’,
tag:‘OWASP_TOP_10/A1’,
ctl:auditLogParts=+E,
ver:‘OWASP_CRS/3.1.0’,
severity:‘CRITICAL’,
setvar:‘ddos_burst_time_slice=10,ddos_counter_threshold=3,ddos_block_timeout=60’,
setvar:‘tx.php_injection_score=+%{tx.critical_anomaly_score}’,
setvar:‘tx.anomaly_score_pl1=+%{tx.critical_anomaly_score}’,
setvar:‘tx.%{rule.id}-OWASP_CRS/WEB_ATTACK/PHP_INJECTION-%{MATCHED_VAR_NAME}=%{tx.0}’"*

上面规则基本含义是:任何url中正则匹配到了login这个关键字,同一IP在10秒内超过3次访问,认为是在暴力破解密码,直接封锁其IP地址60秒。因为正常用户在登录的时候,即使错误输入了密码,也不会在10秒内超过3次请求,如果要修改频率,直接改规则里面的时间即可:

setvar:‘ddos_burst_time_slice=10,ddos_counter_threshold=3,ddos_block_timeout=60’,

hihttps最厉害的是兼容owasp-modsecurity-core-rule攻击规则,更多的规则说明,请自行百度搜索相关教程。

四、运行
./hihttps直接运行即可,默认读取当前目录下的confg.cfg文件, 或者./hihttps --config /dir/config.cfg
如果成功打印加载了rules目录下的规则,代表运行成功。

五、 测试
浏览器连续刷下访问https://server_ip/login.html?testsql=delete * from test
如果hihttps产生了报警记录,则防御成功,再也没有人能暴力破解你网站密码了。

hihttps还有其他更强大的功能,在后续的文章里面再介绍。总之,服务器web安全相当重要,如果不是开源的产品,千万不能随便安装。

corpcorp
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
hihttps:hihttps是一种完整的源码的高级web应用防火墙,既支持传统WAF的所有功能,如SQL注入,XSS,恶意突破扫描,密码暴力破解,CC,DDOS等ModSecurity正则规则,又支持无监督机器学习,对抗未知攻击
03-23
hihttps:hihttps是一种完整的源码的高级web应用防火墙,既支持传统WAF的所有功能,如SQL注入,XSS,恶意突破扫描,密码暴力破解,CC,DDOS等ModSecurity正则规则,又支持无监督机器学习,对抗未知攻击
OctopusWAF:C语言Web应用防火墙使用libevent-开源
05-31
OctopusWAF 是一个开源Web 应用防火墙,是用C 语言制作的,使用libevent 进行多个连接。 事件驱动架构针对大量并行连接(保持活动)进行了优化,这对于高性能 AJAX 应用程序很重要。 这个工具很轻,你可以随意部署...
开源免费WEB应用防火墙
云博客_资源宝分享
02-10 2987
开源免费WEB应用防火墙
使用Web控制端和轻量级客户端构建的开放Web应用防火墙(OpenWAF)
最新发布
渗透测试
07-19 1123
随着Web应用的发展,安全问题日益突出。为了有效防护Web应用Web应用防火墙(WAF)应运而生。本项目旨在构建一个开放的Web应用防火墙(OpenWAF),通过Web控制端和轻量级客户端的结合,实现对Web应用的全面防护和管理。Web控制端是整个系统的核心,它负责集中管理和监控所有的WAF实例,并提供用户友好的操作界面。轻量级客户端部署在需要保护的计算机上,提供Web防护功能,并执行来自控制端的指令。本项目通过Web控制端和轻量级客户端的结合,实现了对Web应用的全面防护和管理。
首款基于机器学习的web应用防火墙hihttps开源
corpcorp的博客
06-02 1096
一、HiHTTPS是首款基于机器学习、自主对抗未知攻击的高性能SSL WEB应用防火墙SSL WAF),源码完整并且兼容ModSecurity正则规则。 [开源版提供完整的源码和防护] 1. 恶意Web漏洞扫描 2. 数据库SQL注入 3. 跨站脚本攻击(XSS) 4、CC & DDOS防护 5、密码暴力破解 6. 危险文件上传检测 7. 非法URL/文件访问 8. 兼容OWASP的ModSecurity正则规则 9. epoll模型单核数万并发连接 10.无监督机器学习、自主生成对抗规则 …
【介绍】开源的WAF(应用防火墙)软件有哪些?
热门推荐
Enweitech Software Works
06-02 1万+
Web应用防火墙Web Application Firewall, WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击(Cross Site Scripting xss)、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC(挑战黑洞)攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。 2020年全球爆发新冠疫情重创经济,5G和物联网等新基建可能会快速崛起拉动经济,HTTPS加密已经普及,传统的防火墙检测功能失效,所以...
Web 攻防之业务安全:暴力破解 测试.
网络安全领域___专研者.
02-05 9295
暴力破解的概括:就是攻击者使用自己的账号和密码作为一个字典,一个一个去尝试,看看是否能够登录成功,因为理论上来讲,只要字典足够庞大,就可以破解成功的!
CakePHP 开源Web应用框架 v3.8.7
08-22
CakePHP是一个用PHP编写的开源Web应用框架,不过其模型是用Ruby on Rails设计的。作为PHP世界的Rails,CakePHP采纳了RoR的许多优秀特性,成熟度较高。在cakephp.org站点的Sites in the wild页面可以看
NinjaFirewall:适用于PHP的功能强大的Web应用程序防火墙-开源
04-25
*独立的Web应用程序防火墙。 *防止远程和本地文件包含,代码执行,上传,SQL注入,僵尸程序和扫描程序,XSS和许多其他威胁。 *在所有HTTP请求到达您的网站以及响应正文之前,对其进行钩接和清除。 *实时检测(文件...
raptor_waf:Raptor - Web 应用防火墙 [稳定版]-开源
05-31
C 中的 Web 应用程序防火墙使用 DFA 来阻止攻击。 阅读文档! http://funguscodes.blogspot.com.br/2016/08/steps-to-create-your-wafweb-application.html
CakePHP 开源Web应用框架 v4.0.4
08-19
CakePHP是一个用PHP编写的开源Web应用框架,不过其模型是用Ruby on Rails设计的。作为PHP世界的Rails,CakePHP采纳了RoR的许多优秀特性,成熟度较高。在cakephp.org站点的Sites in the wild页面可以看
安逸CC攻击防火墙破解版无时间限制
05-09
安逸CC攻击防御卫士中的CC攻击智能防御是该软件的亮点功能。和普通防CC攻击(包括硬件防火墙)相比,他更加人性化,主要解决了不会产生误封。一般服务器开启CC防火墙后,会有很大的弊端(如用代理无法访问、在线支付无法完成等),因此大部分服务器默认都没有CC防御能力,从而导致CC攻击成为很流行的网站攻击方式分布式攻击或者是代理式攻击,均能有效防御,同时还不会对网站被搜索引擎收录网页而产生影响. ;lYHQQd!, RN=` -*E1 一、采用C++高级内核开发,体积小,稳定性高.性能强.快速防御CC攻击 1+?^0
开源免费跨平台密码管理软件 KeeWeb 1.18.1 中文免费版.zip
05-23
Web 应用程序是与 KeePass 数据库兼容的浏览器和桌面密码管理器。 它不需要任何服务器或其他资源。 该应用程序可以在浏览器中运行,也可以作为桌面应用程序运行。KeeWeb 为您提供了一个免费的跨平台密码管理器,...
harbor:使用ReactMaterial-UINextExpressMongooseMongoDB构建的开源Web应用程序-Source material
03-24
使用React / Material-UI / Next / Express / Mongoose / MongoDB构建的开源Web应用程序。 这个应用程式可让拥有Gmail帐户的任何人接收付款,以通过电子邮件发送建议。 我如何使用这个程序? 你可以学习: React ...
基于PHP的FFSFirewallPHP开源免费的轻量级应用防火墙程序源码.zip
08-26
FFSFirewallPHP是一款基于PHP开发的开源免费的轻量级应用防火墙程序,它旨在为PHP应用程序提供额外的安全层,防止恶意攻击和非法访问。这个防火墙通过监控和过滤HTTP请求,来保护服务器免受常见的Web攻击,如SQL...
WinFire:创建和删除Windows防火墙阻止规则-开源
05-08
WinFire是一个批处理文件(CMD行脚本),它允许在可执行应用程序,DLL和任何其他文件类型上快速简单地创建阻止规则。 将使用管理前缀“ WinFire”为目录和子目录(递归)中的单个应用程序可执行文件或所有应用程序可...
免费WEB应用防火墙hihttps谈机器学习之样本采集
corpcorp的博客
02-01 1071
hiihttps是一款免费web应用防火墙,既支持传统的WAF的OWASP特征工程检查(如SQL注入、XSS、恶意漏洞扫描、密码暴力破解、CC、DDOS等),也支持机器采集样本无监督学习,自主对抗,重新定义web安全。今天笔者就从web安全的角度,介绍机器学习之样本采集。 一、 究竟什么是web攻击? 网络安全专家通常认为:web恶意攻击很多是有其特殊的URL特征,如 恶意扫描 GET...
HTTPS的工作原理
weixin_30667301的博客
08-22 256
HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息。TLS/SSL协议不仅仅是一套加密传输的协议,更是一件经过艺术家精心设计的艺术品,TLS/SSL中使用了非对称加密,对称加密以及HASH算法。握手过程的简单描述如下: 1.浏览器将自己支持的一套加密规则发送给网站。 2.网站从中选出一组加密算法与HASH算法,并将...
Web应用防火墙(WAF)技术详解与应用
"Web应用防火墙技术调研-echo.pdf" Web应用防火墙Web Application Firewall,简称WAF)是网络安全领域的重要组成部分,主要用于保护Web应用程序免受恶意攻击和数据泄露。它通过实施一套规则和策略,对HTTP/S流量...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值