ngx_lua_waf模块

模块介绍

一个基于ngx_lua的web应用防火墙,代码很简单,开发初衷主要是使用简单,高性能和轻量级。

功能:

  • 用于过滤post,get,cookie方式常见的web***

  • 防止sql注入,本地包含,部分溢出,fuzzing测试,xss,×××F等web***

  • 防止svn/备份之类文件泄漏.

  • 防止ApacheBench之类压力测试工具的***

  • 屏蔽常见的扫描***工具,扫描器

  • 屏蔽异常的网络请求

  • 屏蔽图片附件类目录php执行权限

  • 防止webshell上传

相关连接:

http://blog.chinaunix.net/uid-1728743-id-3546152.html

https://github.com/openresty/lua-nginx-module

http://www.tuicool.com/articles/6B3ia2

http://netsecurity.51cto.com/art/201503/467721_all.htm

防御机制

采用lua语言开发的第三方模块,它能将lua语言嵌入到nginx配置中,从而使用lua就极大增强了nginx的能力。nginx以高并发而知名,lua脚本轻便。

Naxsi模块

模块介绍

Naxsi是基于nginx的一个轻量级的第三方Web安全防护模块,可以实现对Web应用层各种恶意***的防护,如SQL injiection、XSS、CSRF、Directory traversal等***,能够对Web应用层的Get、Post、Cookie这些请求行为进行完整的检测和过滤。

Naxsi 依赖一个值得肯定的模型, 有多个优点, 但受一些限制束缚 :

  • 专业的 :

  • 快速:简约,轻量级运行

  • 弹性:Signature-less的设计允许提高对付混淆/复杂的***的弹性

  • 独立更新:Signature-less的设计允许可持续的安全, 即使没有更新

  • 配置 :

  • 积极的做法需要一个更重要的白名单机制而不是单靠模型

  • 由于Naxsi就像一个网络防火墙, 如果您设置更多安全松散的规则, 您的web应用程序将无法正常保护

相关连接:

http://blog.micblo.com/2015/07/19/naxsi-tutorial-1/

防御机制

Naxsi其主要防护机制是通过内置的一套极其严格的核心规则库(Core Rules)来实现威胁阻断,并通过用户自定义的白名单(White List)来防止正常的请求被误杀,通过这样正反两端的不断优化配合,来实现安全防护和业务访问的平衡。

ModSecurity模块

模块介绍

倾向于过滤和阻止web危险,之所以强大就在于规则,OWASP提供的规则是于社区志愿者维护的,被称为核心规则CRS(corerules),规则可靠强大,当然也可以自定义规则来满足各种需求。

相关连接:

http://www.52os.net/articles/nginx-use-modsecurity-module-as-waf.html

 

防御机制

ModSecurity是一个***探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.它可以作为Apache Web服务器的一个模块或单独的应用程序来运行。ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的***。