WAF该如何实现?

最新推荐文章于 2024-06-12 17:47:53 发布
最新推荐文章于 2024-06-12 17:47:53 发布
阅读量3.4k 收藏 6
点赞数 1
分类专栏: Nginx 文章标签: nginx WAF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/felix_yujing/article/details/52973645
版权

对于现在的互联网,网络攻击每天都在发生,很多攻击是在七层,也就是OSI七层模型中的应用层。因此,Web应用防火墙(Web Application Firewall,简称WAF)愈发显得重要。

我现在所在的公司,也一直存在被攻击的现象,时常会出现服务接口被刷从而影响到业务的正常访问。由于自己并不是专门的安全从业人员,当问题出现的时候,只能采用有限的方法来临时解决问题:在nginx服务器上运行了一个脚本,通过过滤nginx的日志,将单位时间内接口调用达到一定阀值的IP加入黑名单,在nginx层面deny掉以保护后端服务的正常。

采用上面的方法确实加了不少黑名单,能起到一定的防护作用。但是这个防护粒度还是比较粗的,并且,攻击者要是摸清楚了加黑名单的阀值也是能躲过去的。为了更灵活、方便的做到监控接口的调用,并且防止被恶意的大量访问,最近也在查找一些开源的WAF解决方案。咨询了一下在携程做安全的朋友,开源WAF主要采用的都是nginx+lua的方案来做的。nginx配合上lua扩展,能实现很多强大的功能,比较有名的就是openresty这个项目了。很多互联网公司也已经用openresty来替代原生nginx了。

目前,我在github上找到几个nginx+lua做waf的实现方案:
https://github.com/loveshell/ngx_lua_waf
https://github.com/unixhot/waf
https://github.com/centos-bz/HttpGuard
https://github.com/alexazhou/VeryNginx
各个方案的优缺点暂且不说,先从github上拉下来跑一跑,相信每个项目都有可以借鉴和学习的地方的,以后好用到自己的WAF里!

felix_yujing
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WAF是什么?一篇文章带你全面了解WAF
weixin_44716769的博客
02-22 1万+
WAF是什么?一篇文章带你全面了解WAF WAF是什么? 一、WAF的工作原理 二、WAF的分类 三、WAF的特点 四、如何选择和部署WAF
waf是什么?
weixin_47942072的博客
05-22 3131
waf是近几年兴起的一个词汇,在提及云waf之前首先说一下什么是wafWaf的全拼为:Web Application Firewall,顾名思义waf是一款针对web端的防火墙产品。一般来说waf有三种形态: 云waf是什么? 1、硬件waf,需要安装硬件防护,将waf串行在web服务器前端,用户阻断、检测异常流量。常规硬件Waf实现方式是通过代理来自外部的流量,并对请求包进行解析,通过安全规则库的攻击规则进行匹配,如成功匹配规则库中的规则,则识别为异常并进行请求阻断。 云waf是什么? 2、软件
基于PHP扩展的WAF实现
swordheart的博客
04-23 2161
0x00 前言 最近上(ri)网(zhan)上(ri)多了,各种狗啊盾啊看的好心烦,好多蜜汁shell都被杀了,搞的我自己也想开发这么一个斩马刀,顺便当作毕设来做了。 未知攻,焉知防。我们先来看看shell们都是怎么躲过查杀的:加密、变形、回调、隐藏关键字……总之就是一句话,让自己变得没有特征,这样就可以躲过狗和盾的查杀。但是万变不离其宗,无论怎么变形,最终都会回到类似这样的格式: 1 2 3 <code>#!php $_GET($_P
使用NGINX+LUA实现WAF功能
yb223731的博客
10-16 4398
https://blog.oldboyedu.com/nginx-waf/ 一、了解WAF 1.1 什么是WAF Web应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。 1.2 WA...
Nginx + lua 实现WAF
最新发布
weixin_44412142的博客
06-12 600
Nginx + lua 实现WAF(违禁词拦截)
什么是WAF防护?
ying_yingying的博客
02-04 1万+
在又拍云的云安全类别中,WAF防护是其中之一的功能,WAF主要防护的是来自对网站源站的动态数据攻击,可防护的攻击类型包括SQL注入、XSS攻击、CSRF攻击、恶意爬虫、扫描器、远程文件包含等攻击。     SQL注入攻击(SQL Injection),          简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件
如何让一句话木马绕过waf的检测 ?
aoxiangchina的博客
08-16 1351
一、什么是一句话木马? 一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。 二、我们如何发送命令,发送的命令如何执行? 我们可以通过 GET、POST、COOKIE这三种方式向一个网站提交数据,一句话木马用 $_GET[' ']、$_POST[' ']、$_COOKIE[' ']接收我们传递的数据,并把接收的数据传递给一句话木马中执行命令的函数,进而执行命令。 所以看到的经典一句
php扩展 waf,基于PHP扩展的WAF实现
weixin_39622655的博客
03-18 209
访问一下看看结果:可以看到ls命令成功的执行了,也就是说我们的正常文件是不会被拦截的,而只有upload目录中的文件会被拦截,这样做又会引发另一个弊端,倘若攻击者通过某种方法将shell写入正常的文件中,或是与业务结合起来,那么这种防御手段就很难生效了。具体如何防御还要结合其他的特征进行检测,并不是没有办法了,实际应用中不能只依靠检测文件路径这一条规则,需要结合业务进行部署防御方案。另一种方法与这...
NG+WAF实现应用安全访问
有莘不破的博客
01-17 1745
NG+WAF功能,给你web增加一道防护
WAF实现与架构演进.pptx
05-07
WAF实现与架构演进 WAF(Web Application Firewall)是一种保护 Web 应用程序免受攻击的系统。它可以检测和阻断常见的 Web 攻击,如 SQL 注入、跨站脚本攻击(XSS)、网页木马上传、命令/代码注入、文件包含、...
WAF实现.mmap
02-23
WAF实现.mmap
AWD攻防比赛 PHP WAF
10-16
1. **请求拦截**:当一个HTTP请求到达服务器时,PHP WAF首先会捕获该请求。 2. **规则匹配**:WAF会有一套预定义的规则库,这些规则涵盖了各种已知的攻击模式。它会对请求内容进行解析,与规则库中的条目进行比对。 ...
aws-waf-owasp
10-16
提供了一个CloudFormation模板,帮助用户快速部署和配置AWS WAF实现OWASP防护。 5. **结论** 使用AWS WAF与OWASP Top 10相结合,用户可以构建一个强大的安全防御系统,有效抵御各种Web应用攻击,确保云环境中的...
WAF的正确bypass
10-20
**WAF的正确bypass** 是指在遇到Web应用程序防火墙(Web Application Firewall)时,通过巧妙的方法绕过其安全防护机制,实现有效测试或安全验证。WAFs设计用于保护网站免受SQL注入、跨站脚本攻击(XSS)、CSRF等...
关于nginx中proxy_set_header的设置
热门推荐
B.I.T
06-15 3万+
昨天一个开发找我帮忙配置一个nginx的转发,本来很容易的配置,但是坑了我好久才解决。。。需求大致是: nginx上配有aaa.example.com的虚拟主机,现在需要将访问http://aaa.example.com/api/x.x/client/的请求转到http://bbb.example.com/api/x.x/client/,bbb.example.com的虚拟主机在另外一台ngin
配置nginx显示目录文件列表
B.I.T
01-24 1万+
对于像ftp那样显示文件列表,nginx默认是不支持的,需要通过在location、server或http配置段添加额外参数: autoindex on; # 开启目录文件列表 autoindex_exact_size on; # 显示出文件的确切大小,单位是bytes autoindex_localtime on; # 显示的文件时间为文件的服务器时间 charset utf-8,gbk
关于nginx的location匹配
B.I.T
03-21 3584
nginx中location的语法格式是: location [=|~|~*|^~|@]  /uri/  {      ...... } 说明: =    表示完全一致 ~    表示区分大小写的正则匹配, ~*   表示不区分大小写的正则匹配 ^~  表示不要再继续匹配正则 @    表示内部重定向,不需要跟浏览器交互,是服务端的一个转发 location中的
WAF架构演进:守护Web应用的安全屏障
WAF实现与架构经历了几个关键阶段: 1. **产品形态**: - 硬件WAF:传统的物理设备,部署在本地网络,如绿盟、启明星辰、华为、思科、Fortinet等厂商的产品,或者集成在下一代防火墙(NGFW)中。 - 软件WAF:如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值