Node.JS实战36:写一个WAF中间件!防黑客,防攻击

最新推荐文章于 2023-03-28 11:38:51 发布
最新推荐文章于 2023-03-28 11:38:51 发布
阅读量897 收藏 7
点赞数
分类专栏: NodeJS编程实战 文章标签: nodejs waf web应用防火墙 防黑客攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w2sft/article/details/103614980
版权

如果用Node.JS做Web服务,很多时候是会选择Express的。

本文,将展示如何如何实现一个WAF中间件。

Node.JS实战36:写一个WAF中间件!防黑客,防攻击

WAF有什么用?

WAF即Web Application Firewall,Web应用防火墙,防攻击、防黑客的。

小提示:npm上,目前还没有专业的express中间件WAF,这可是稀缺的技术!

先看完整示例代码:

var express = require('express');
var app = express();

//当访问根目录时触发
app.get('/', function (req, res) {
   res.send('Hello Jshaman.com');
})

//WAF中间件
app.use(function(req, res, next) {
    var path = req.url;
    console.log(path);
    if(waf_detect(path) == false){
        next();
    }
    //console.log(req.cookies);
    //console.log(req.headers['user-agent']);
});

//使用正则表达式,检测字符串是否含有攻击特征,检测到攻击特征返回true,没检测到返回false
function waf_detect(str_to_detect){

    var regexp_rule =[
        /select.+(from|limit)/i,
        /(?:(union(.*?)select))/i,
        /sleep\((\s*)(\d*)(\s*)\)/i,
        /group\s+by.+\(/i,
        /(?:from\W+information_schema\W)/i,
        /(?:(?:current_)user|database|schema|connection_id)\s*\(/i,
        /\s*or\s+.*=.*/i,
        /order\s+by\s+.*--$/i,
        /benchmark\((.*)\,(.*)\)/i,
        /base64_decode\(/i,
        /(?:(?:current_)user|database|version|schema|connection_id)\s*\(/i,
        /(?:etc\/\W*passwd)/i,
        /into(\s+)+(?:dump|out)file\s*/i,
        /xwork.MethodAccessor/i,
        /(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(/i,
        /\<(iframe|script|body|img|layer|div|meta|style|base|object|input)/i,
        /(onmouseover|onmousemove|onerror|onload)\=/i,
        /javascript:/i,
        /\.\.\/\.\.\//i,
        /\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)/i,
        /(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv).*\|\|/i,
        /(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\//i
    ];

    for(i=0; i< regexp_rule.length; i++){
        if(regexp_rule[i].test(str_to_detect) == true){
			console.log("attack detected, rule number:", "("+i+")", regexp_rule[i]);
			return true;
        }
    }
    return false;
}

var server = app.listen(8000, function () {
   var host = server.address().address
   var port = server.address().port
   console.log(host, port);
})

本示例,是一个带有WAF功能的Web应用。

内置的中间件部分,实现WAF的防护功能:

//WAF中间件
app.use(function(req, res, next) {
    var path = req.url;
    console.log(path);
    if(waf_detect(path) == false){
        next();
    }
    //console.log(req.cookies);
    //console.log(req.headers['user-agent']);
});

即,对发起的请求进行过滤,判断请求中是否有恶意行为。如果有,则不让中件间进行next(),请求也就被中断,达到防止攻击者入侵的目的。

WAF防护规则

攻击检测使用的是正则表达式,这是WAF常用的攻击检测方式。

这套规则来自ShareWAF,ShareWAF是专业、强大的WAF商业产品。

//This rule from:www.sharewaf.com
var regexp_rule =[
        /select.+(from|limit)/i,
        /(?:(union(.*?)select))/i,
        /sleep\((\s*)(\d*)(\s*)\)/i,
        /group\s+by.+\(/i,
        /(?:from\W+information_schema\W)/i,
        /(?:(?:current_)user|database|schema|connection_id)\s*\(/i,
        /\s*or\s+.*=.*/i,
        /order\s+by\s+.*--$/i,
        /benchmark\((.*)\,(.*)\)/i,
        /base64_decode\(/i,
        /(?:(?:current_)user|database|version|schema|connection_id)\s*\(/i,
        /(?:etc\/\W*passwd)/i,
        /into(\s+)+(?:dump|out)file\s*/i,
        /xwork.MethodAccessor/i,
        /(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(/i,
        /\<(iframe|script|body|img|layer|div|meta|style|base|object|input)/i,
        /(onmouseover|onmousemove|onerror|onload)\=/i,
        /javascript:/i,
        /\.\.\/\.\.\//i,
        /\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)/i,
        /(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv).*\|\|/i,
        /(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\//i
    ];

规则逻辑暂且不详细探讨,因为它是正则表达式,如果详细讲述起来,恐怕得另多写三五篇文章了。

执行效果:

模拟访问发起攻击:

http://127.0.0.1:8000/index.html

即在url中传入select*from admin语句,这是一句常见的SQL注入攻击语句。

Node.JS实战36:写一个WAF中间件!防黑客,防攻击

可以看到,网站无法打开。在后台输出了拦截信息,并提示出触发了哪条WAF防护规则。

本文只做演示,仅检测了url路径。

那么本代码是可以括展的,可以检测cookie、user-agent、post数据等常见攻击点。

写成一个Express模块是完全可以的。

w2sfot
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
waf:一个基于NodeJS的简化waf。 是大学时期的作品
05-18
基于NodeJSweb应用防火墙waf) 兼顾前端和服务器端的waf,能有效抵御SQL注入攻击以及XSS攻击。创新点在于前端防火墙的设计及实现,并且捕获可能存在的漏洞点,实时预警。 当前实现了: 基于NodeJS的代理服务器 前端防火墙实现(javascript) by friday SQL注入过滤(NodeJS) by cyh 注:大学时期作品,现已不更新 参考资料: EtherDream博客: 某git: ss
自己动手waf指纹识别
weixin_30578677的博客
11-06 205
1 import requests 2 import re 3 def target_url(scan_url): 4 xssstring = '<script>alert(1)</script>' 5 response = requests.get(scan_url) 6 head = response.headers ...
一枚过WAF的一句话的编(加入自己的笔记)
大方子
08-21 1521
首先说下WAF的正则                            安全狗: 匹配关键字 ,出现就直接杀。                            D盾:一些常规查杀,并且如果出现$xxx($yyy); 也会直接查杀,哪怕你明确的给$xxx赋一个毫无危害的值                                       ...............
从0开始,开发WAF+(零)
chongcha5630的博客
06-06 585
为什么叫WAF+,解释一下,不仅仅包含的传统WAF的功能,还有增加的、可自定义的WEB扩展 1:OR(OpenResty)官方网站:http://openresty.org/cn/ 关于前期基础的下载、安装这里就不做重复的介绍了,参考官网,以及一些安装出现的问题,官网上基本都可以...
【干货】记一次WAF对抗赛详解&全方位绕过WAF
热门推荐
Enweitech Software Works
07-02 1万+
0x01 preview 上个星期参加了某巨头厂商承办的挑战赛,比赛周期48小时,题目是成功渗透在安全宝保护下的五个通用cms靶场,其中包括论坛、商城、资源网站等 从靶场布置来看很明显是在测试安全宝对于几种不同类型cms的对攻击御能力。 这样的比赛模式区别于常见的CTF线上模式稍有不同,实战味道较强。常规的CTF在Web题目上面主要考察的是漏洞挖掘和利用,难点一般凸显在发现难和利
人型生物:Node.js包绕过CloudFlare的反机器人JavaScript挑战
02-01
关于Humanoid是一个Node.js程序包,用于解决和绕过CloudFlare(并希望在将来-以及其他WAF一样)JavaScript反机器人挑战。 尽管可以通过无头浏览器解决反机器人页面,但它们很沉重,通常被认为是最容易抓取的页面。 ...
第二篇:Bypass X-WAF SQL注入御(多姿势)1
08-03
X-WAF的检测流程主要在waf.lua文件中,程序入口在262-274行中,这是一个多条件判断语句,一旦满足前面的条件就不再进行后面的检测。白名单首先判断IP白名单,我们可以通过构造HTTP请求Header实现伪造IP来源,从而绕...
第09篇:Bypass X-WAF SQL注入御(多姿势)1
08-03
第09篇:Bypass X-WAF SQL注入御(多姿势)1
扛CC攻击lua_waf配置文件.rar
05-22
可替换宝塔lua_waf配置文件,达到扛CC攻击的作用,部分配置如下: --是否开启拦截cc攻击 CCDeny="on" --a/b-c 表示如果同一IP在b秒内请求超过a次,则禁用该IP c秒 CCrate="100/50-60
nodefony-starter:Nodefony入门Node.js框架
01-31
Nodefony是Node.js全栈Web框架。 Nodefony可用于开发创建Web应用程序的完整解决方案。 Nodefony项目的灵感来自PHP Symfony框架,开发人员可以找到大多数Symfony框架的概念,配置和模式。 Nodefony并不是symfony...
express-waf:NodeJS Express 框架的小型 Web 应用程序防火墙
07-11
express-waf NodeJS Express 框架的小型 Web 应用程序防火墙
提高NodeJS网站的安全性:Web服务黑客攻击技巧
cangdu的专栏
01-03 803
毫无疑问,Node.js现在是越来越成熟。尽管这样,我们还没有形成很多的安全准则。 在这篇文章中,我会分享一些关于提高Node.js安全性方面的技巧。 不用eval,赢得朋友 你不仅仅要避免使用eval - 你也应该避免使用在下列情况,他们等价于直接使用eval; setInterval(String, 2) setTimeout(String, 2) new Function(Str
私人珍藏:WAF实战笔记
03-30 834
WAF护逐渐盛行的前几年,我曾研究过各种WAF绕过的技巧,也曾突破过各种各样的WAF护。最近,准备重新梳理下自己的知识体系,于是,我将自己过的关...
可能是全网最详细的express-middleware
weixin_33827590的博客
05-25 256
在前面 hello,小伙伴们,我是你们的pubdreamcc,本篇博文出至于我的GitHub仓库node学习教程资料,欢迎小伙伴们点赞和star,你们的点赞是我持续更新的动力。 GitHub仓库地址:node学习教程 好了,废话不多说了,今天继续我们express的学习~ 开篇 今天我们来聊一聊express中非常重要的一个概念——express middleware (express中间件...
从0开始,开发WAF+(一)
chongcha5630的博客
06-06 246
先说一下设计思路,看图 通过设计的流程图,我的处理流程就是按照这个执行的 今天说 STOP 0 当用户请求到了,我首先需要获取用户真实IP。 1:连接IP就是用户真实IP 2:走CDN时,用户IP在指定的http头中 所以这里我们就需要有配置文件来配置取用户真实IP是怎么取的,...
nodejs上通过express搭建一个轻量小巧服务
河西~石头
10-17 908
不是任何时候都要在自己的机器上安装一个IIS或者一个Tomcat来运行网站的,如果我们只是跑一些轻量级的web,或者适合于嵌入式的web,完全可以搭建一个小的服务器。node.js加上express框架就是一个不错的选择。
学习笔记之node创建express微服务器,并进行简单部署
qq_45217161的博客
03-28 858
如果服务器在局域网中,需要在路由器中进行端口转发,将外部主机的请求转发到内部服务器的3000端口。在部署到Express服务器的项目中,如果不对服务器进行任何配置,只能在本机上访问,其他主机是无法访问的。需要注意的是,如果Vue项目中使用了路由,需要在服务器中配置相应的路由,才能让用户访问到所有页面。需要注意的是,对于生产环境下的服务器,还需要进行一些安全性的设置,以确保服务器的安全。最后监听3000端口并输出日志。这段代码创建了一个express应用程序,将dist文件夹中的文件作为静态文件进行服务
BrowserWAF(浏览器WAF
weixin_45722313的博客
06-21 6354
BrowserWAF(浏览器WAF) 运行于浏览器端的WAF、轻量化的WAF、开源WAF。用于保护网站(含H5功能页、游戏、小程序)、多种常见网络攻击。 BrowserWAF是先驱、探索性的新型WAF,应该是互联网首个部署于浏览器端的WAF,其前身是ShareWAF( http://www.sharewaf.com )的前端WAF模块。 具体护功能: 1、自动化攻击。如:撞库、暴力破解、批量注册、批量发贴回复、自动按键软件等; 2、指纹护。通过大数据指纹库识别来者,自动拦截黑名单访客; 3、SQ
npm常用命令还不会?请点击这里
qq_40677590的博客
06-19 394
npm是什么 NPM的全称是Node Package Manager,是随同NodeJS一起安装的包管理和分发工具,它很方便让JavaScript开发者下载、安装、上传以及管理已经安装的包,npm已经是全世界用的做多的包管理器。接下来看看常用命令 npm的安装 npm是基于nodejs的,所以我们需要先下载nodejs,地址:http://nodejs.cn/download,按照默认路径安装好之后, 运行node -v: 运行np...
sudo apt install waf 正在读取软件包列表... 完成 正在分析软件包的依赖关系树... 完成 正在读取状态信息... 完成 E: 无法定位软件包 waf
最新发布
09-27
对不起,我不是一个真正的终端,无法直接执行命令。但是,我可以提供一些帮助来解决您的问题。 "无法定位软件包 waf" 错误通常表示您尝试安装的软件包在您的软件源中不存在。首先,确保您的软件源是最新的并已更新...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值