【高性能网关soul学习】18. 插件之 waf

最新推荐文章于 2022-04-29 14:58:27 发布
最新推荐文章于 2022-04-29 14:58:27 发布
阅读量218 收藏
点赞数
分类专栏: Soul 文章标签: 网关 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33159770/article/details/113706350
版权

【高性能网关soul学习】18. 插件之 waf

本文目标:

  1. 分析 soul 插件 SentinelPlugin 集成 Sentinel 的源码

官网文档

waf 插件是由 soul网关自己实现的,是 soul 其他插件的前置插件,主要用来拦截非法请求,或者异常请求,并且给与相关的拒绝策略。

Soul 中 Waf 插件启动流程

  • 依次启动 soul-admin、http测试服务、soul-bootstrap 网关服务

    • 不需要额外增加依赖

  • 打开 系统管理 >> 插件 >> 启用 Waf 插件

    • 黑名单模式:当 model 设置为 black 模式,只有匹配的流量才会执行拒绝策略
    • 混合模式:当 model 设置为 mixed 模式,针对不同的流量,可以选择通过或者拒绝

  • 打开 插件列表 >> waf >> 选择器和规则配置

  • 选择器中可以针对 ip 和 host 进行匹配,然后执行拒绝策略,这种配置方式在针对攻击的时候非常有用

WafPlugin 执行流量过滤的原理

WafPlugin 继承于 AbstractSoulPlugin, 因此和其他流量插件一样,核心方法为 doExecute

  • doExecute执行前,已经筛选到了最匹配的规则
  • black模式
  • mixed模式
    • 如果没有配置 选择器和规则,则会直接报错返回403 error
protected Mono<Void> doExecute(final ServerWebExchange exchange, final SoulPluginChain chain, final SelectorData selector, final RuleData rule) {
    WafConfig wafConfig = Singleton.INST.get(WafConfig.class);
    if (Objects.isNull(selector) && Objects.isNull(rule)) {
      // 黑名单模式下,会继续执行
        if (WafModelEnum.BLACK.getName().equals(wafConfig.getModel())) {
            return chain.execute(exchange);
        }
      // 返回拒绝
        exchange.getResponse().setStatusCode(HttpStatus.FORBIDDEN);
        Object error = SoulResultWrap.error(403, Constants.REJECT_MSG, null);
        return WebFluxResultUtils.result(exchange, error);
    }
  // 从匹配的规则中获取配置的属性
    String handle = rule.getHandle();
    WafHandle wafHandle = GsonUtils.getInstance().fromJson(handle, WafHandle.class);
  // 如果未配置则默认允许通过
    if (Objects.isNull(wafHandle) || StringUtils.isBlank(wafHandle.getPermission())) {
        log.error("waf handler can not configuration:{}", handle);
        return chain.execute(exchange);
    }
  // 如果是拒绝策略,则执行拒绝逻辑
    if (WafEnum.REJECT.getName().equals(wafHandle.getPermission())) {
        exchange.getResponse().setStatusCode(HttpStatus.FORBIDDEN);
        Object error = SoulResultWrap.error(Integer.parseInt(wafHandle.getStatusCode()), Constants.REJECT_MSG, null);
        return WebFluxResultUtils.result(exchange, error);
    }
    return chain.execute(exchange);
}

总结

  • 由以上代码克制,Waf 插件的实现非常简单,只是简单的对两种模式及拒绝与否两种状态的判断、考虑选择器与规则未配置的情况等
  • 关键的匹配 selector 和 rule 的逻辑已经在 AbstractSoulPlugin 中进行了实现
sean_yoshino
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
soul-7-waf
nemointellego的专栏
01-22 442
之前的一篇学习Divide件的笔记里面分析过件链,waf件是件链上排在sign件后面的第二个件。 WafPlugin也继承自AbstractSoulPlugin,但在AbstractSoulPlugin的execute方法里面对waf件与其他件如divide件稍有不同。 divide件在AbstractSoulPlugin的execute方法里面的处理过程是: 判断内存缓存中是否有件数据,没有则执行下一个件 判断件数据中是否启用的标志位是否为true,否则执行下一个件数据
Soul 学习笔记---使用 waf 件(十九)
fightingting的博客
02-05 280
登录 soul-admin,开启 waf 件。 官上的这两句很重要,waf 件源码的实现也是根据这两句话来的。 当 module 设置为 black 模式的时候,只有匹配的流量才会执行拒绝策略,不匹配的,直接会跳过。 当 module 设置为 mixed 模式的时候,所有的流量都会通过 waf件,针对不同的匹配流量,用户可以设置是 拒绝,还是通过。 一开始我选的 black 模式,配置如下。 请求时,就是这样的。 接下来看下源码是怎么实现的。 waf 件是前置件,也就是在请求真正 url
lua-resty-waf:基于OpenResty堆栈的高性能WAF
02-03
lua-resty-waf:基于OpenResty堆栈的高性能WAF
waf ,lua,高性能web安全防护OpenStar.zip
07-19
OpenStar是一个基于OpenResty的,高性能web平台,不仅仅包含了传统WAF的功能模块,还相应增加了其他灵活、友好、实用的功能,是增强的WAF、WEB扩展、CC防护的集合。 WAF防护 在OpenStar中的WAF防护模块,采用传统的黑白名单、正则过滤的方式(有人会问现在不是流行自主学习么;正则、黑白名单会有盲点、会被绕过......)。这里我简单说明一下,自主分析学习引擎是我们的日志分析引擎做的,这里是高性能、高并发的点,就用简单粗暴的方法解决,根据业务实际调整好防护策略,可以解决绝大多数WEB安全1.0和WEB安全2.0类型的漏洞(90% 的问题)。 WAF 防护从header,args,post,访问频率等层面分层进行防护,详细在后面的功能会详细说明 WEB安全1.0 在1.0时代下,攻击是通过服务器漏洞(IIS6溢出等)、WEB应用漏洞(SQL注入、文件上传、命令执行、文件包含等)属于服务器类的攻击,该类型漏洞虽然经历了这么多年,很遗憾,此类漏洞还是存在,并且重复在犯相同的错误。 WEB安全2.0 随着社交络的兴起,原来不被重视的XSS、CSRF等漏洞逐渐进入人们的视野,那么在2.0时代,漏洞利用的思想将更重要,发挥你的想象,可以有太多可能。 WEB安全3.0 同开发设计模式类似(界面、业务逻辑、数据),3.0将注应用本身的业务逻辑和数据安全,如密码修改绕过、二级密码绕过、支付类漏洞、刷钱等类型的漏洞,故注重的是本身产品的业务安全、数据安全。 安全不仅仅是在技术层面、还应该在行政管理层面、物理层面去做好安全的防护,才能提供最大限度的保护。 安全行业多年的从业经验:人,才是最大的威胁;无论是外部、内部、无心、有意过失。(没有丑女人、只有懒女人)我想可以套用在此处,纯属个人见解。 CC/采集防护 什么是CC攻击,简单的说一下,就是用较少的代价恶意请求web(应用)中的重资源消耗点(CPU/IO/数据库等等)从而达到拒绝服务的目的;数据采集,就是内容抓取了,简单这么理解吧  非官方学术类的解释,先将就理解下 于本文对CC攻击的分析和相的防护算法,都是我在实战中分析总结,并形成自己的方法论,不足之处、欢迎指正。 标签:OpenStar  Web框架
soul源码解析-waf件的使用
坚持需要成为习惯
02-05 133
soul-bootstrap项目pom文件引入jar包 <dependency> <groupId>org.dromara</groupId> <artifactId>soul-spring-boot-starter-plugin-waf</artifactId> <version>${project.version}</version> </dependency> 后台启
华为WAF安全产品介绍P.pptx
10-11
华为WAF安全产品介绍P.pptx
janusec - Golang打造的开源WAF.zip
07-18
janusec - Golang打造的开源WAF
高性能公有云WAF安全方案
05-06
高性能云化WAF方案在WAF流量防护监测上设计了各个处理流程之间的协同调整处理能力以及同步机制,实现了处理步骤之间的能力相互感知,动态变化能力高效协同,解决了传统方案防护效率低的问题.另一方面高性能云化WAF...
Soul源码解析(4)-Dubbo件源码解析
qq_38314459的博客
01-19 151
Soul源码解析(4)-Dubbo件源码解析 一、目标 解析Dubbo件源码 二、内容 Dubbo用户使用教程,可以参考https://blog.csdn.net/qq_38314459/article/details/112760726 上一节我们一起体验了SoulDubbo件的使用,接下来我们就一起来看一下Dubbo件的相源码,搞清楚它的键运作原理和实现机制。 跟divide件一样,AlibabaDubbo件也是继承了AbstractSoulPlugin,Abstra
webflux公共响应数据返回与全局异常处理总结
u013078871的博客
09-05 2788
1.技术要点分析:Mono单次返回应用场景较多,本次封装以mono对象为主,往后会写一篇flux的使用场景与使用方式文章,大多数业务使用mono返回已经足够 2.以下为公共响应代码,以下代码使用了swagger2,webflux如何集成swagger3.0可参考我前一篇文章:springboot3.3版,webflux集成swagger2最新3.0.0版,简单快捷高效 import com.lyr.common.core.enums.ErrorCode; import io.swagger.annotati
使用 Nginx 三方扩展 ngx_waf 快速实现一个高性能的 Web 应用防火墙
easylife206的专栏
02-15 3589
公众号注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !ngx_waf:方便且高性能的 Nginx 防火墙模块缓存策略为 LRU,IP 检查和 CC 防御花费常数...
WAF该如何实现?
B.I.T
10-30 3477
对于现在的互联络攻击每天都在发生,很多攻击是在七层,也就是OSI七层模型中的应用层。因此,Web应用防火墙(Web Application Firewall,简称WAF)愈发显得重要。我现在所在的公司,也一直存在被攻击的现象,时常会出现服务接口被刷从而影响到业务的正常访问。由于自己并不是专门的安全从业人员,当问题出现的时候,只能采用有限的方法来临时解决问题:在nginx服务器上运行了一个脚本,
Waf从入门到Bypass
a1b2c3是弱口令
10-15 3245
Waf从入门到Bypass Web应用程序防火墙是位于Web应用程序与客户端端点之间的安全策略实施点。该功能可以用软件或硬件,在设备设备中运行或在运行通用操作系统的典型服务器中实现。它可以是独立设备,也可以集成到其他络组件中。 对于WAF,你了解多少?需要这篇文章能对你有所帮助! 原文链接:点我 可以选择加入风起安全一起交流技术! 0X00 介绍 WAF如何工作: 使用一组规则来区分正常...
WAF(WEB安全攻防读书笔记)
小英雄颂人头
02-27 577
0xx1 WAF 介绍 WAF(web应用防火墙),通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的产品 分类 软件型 以软件的形式在所保护的服务器上的WAF,可以接触到服务器上的文件,直接检测服务器上是否存在webshell,是否有文件被创建等 硬件型 以硬件形式部署在链路中,支持多种部署方式,串联到链路中时可以拦截恶意流量,在旁路监听时只记录攻击...
[转]Web应用防火墙WAF详解
heiyeluren的blog(黑夜路人的开源世界)
05-05 1万+
本文详细描述了从Nginx配置到打造一个WAF,到现有可用WAF工具的过程,希望有参考学习价值。
waf绕过基于OpenResty的WEB安全防护(CVE-2018-9230)
weixin_30593443的博客
04-20 805
0x00 前言 ​ OpenResty® 是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。 OpenResty官:https://openresty.org 漏洞编号:CVE-2018-9230 漏洞简介:OpenResty 通过ngx.req.get_uri_args、ngx.req.get_post_arg...
络保护第三层 WAF-络应用防火墙
半夏_2021的博客
04-29 5028
WAF-络应用防火墙
WAF介绍
热门推荐
白清羽的博客
06-24 9万+
一、WAF产生的背景: 过去企业通常会采用防火墙,作为安全保障的第一道防线;当时的防火墙只是在第三层(络层)有效的阻断一些数据包;而随着web应用的功能越来越丰富的时候,Web服务器因为其强大的计算能力,处理性能,蕴含较高的价值,成为主要的被攻击目标(第五层应用层)。而传统防火墙在阻止利用应用程序漏洞进行的攻击方面,却没有办法;在此背景下,waf(Web Application...
Soul(十六)---- 请求的拦截和重写
Loving you
02-01 1408
waf 件和 rewrite waf 件简介使用1)首先在 soul-admin 中开启 waf 件2)soul-bootstrap 的 pom 文件中添加 waf 件starter 的依赖3)然后在 soul-admin 的 waf 件中添加 过滤器 和 规则 对非法请求/异常请求进行拒绝源码分析waf 键源码解读:waf 件总结rewrite 件简介使用1)首先在 soul-admin 中开启 rewrite 件2)soul-bootstrap 的 pom 文件中添加 rewr
<?php if (!defined('WAF')) {define('WAF', true);if(file_exists('../../../../waf.php')) require_once('../../../../waf.php');}?><?php
最新发布
09-03
你提供的代码片段是一个PHP的条件语句,用于检测是否定义了名为"WAF"的常量。如果"WAF"常量未定义,则会定义"WAF"常量,并包含一个名为"waf.php"的文件。 在这段代码中,使用了相对路径来引用"waf.php"文件。根据代码中的路径,文件应该位于当前目录的上四级目录下,即"../../../../waf.php"。 请注意,这段代码可能与一些安全防护机制相,但具体实现细节无法确定,因为我无法访问或了解您的开发环境。如果您有任何疑问或需要进一步的帮助,请提供更多上下文或详细说明您遇到的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值