BrowserWAF(浏览器WAF)

最新推荐文章于 2024-04-25 09:48:47 发布
最新推荐文章于 2024-04-25 09:48:47 发布
阅读量6.3k 收藏
点赞数 1
分类专栏: 前端 文章标签: javascript 安全
原文链接:https://github.com/w2sft/BrowserWAF
版权

BrowserWAF(浏览器WAF)
运行于浏览器端的WAF、轻量化的WAF、开源WAF。用于保护网站(含H5功能页、游戏、小程序)、防多种常见网络攻击。

BrowserWAF是先驱、探索性的新型WAF,应该是互联网首个部署于浏览器端的WAF,其前身是ShareWAF( http://www.sharewaf.com )的前端WAF模块。
具体防护功能:

1、防自动化攻击。如:撞库、暴力破解、批量注册、批量发贴回复、自动按键软件等;
2、指纹防护。通过大数据指纹库识别来防者,自动拦截黑名单访客;
3、防SQL注入、文件包含、目录遍历等(传统WAF功能);
4、防CRSF攻击;
5、防Iframe框架嵌套;
6、防爬虫;
7、防XSS;

与传统WAF相比,有优势也有不足:

优势: 1、简单方便:传统WAF部署、使用繁杂。BrowserWAF在浏览器加载,1行代码引用,10行代码完成部署; 2、维护:BrowserWAF几乎无维护工作; 3、性能:传统WAF由于是反向代理或透明代理,对所有达到Web的数据都要过滤处理,因此对性能有较大损失,BrowserWAF运行于网页中,无乎无性能影响; 4、兼容性良好、不影响原业务功能;

不足:

1、防护效果报表不够详尽(额……报表功能正在开发中,目前尚未推出:D);
2、防护功能无法覆盖某些攻击,如:COOKIE注入、重放、嗅探等。

接入

需要引用JQuery和BrowserWAF两个JS文件,代码如下:

注:这段代码放在body中,所有内容之后body结束之前。

<!-- 引用JQuery库,可为其它版本,可从本地下载-->
<script src="https://code.jquery.com/jquery-3.4.1.min.js"></script>
<!-- 引用BrowserWAF库,可放到本地,可用http或https方式 -->
<script src="http://www.sharewaf.com/browserwaf/BrowserWAF.js"></script>
<script>
    //参数,控制各功能是否启用,1为启用,0为不启用
    var config = {
        //防自动化攻击
        Defend_Automated_Attack_Enable : 1,
        //浏览器指纹识别防护
        BrowserID_Enable : 1,
        //防SQL注入、文件包含、目录遍历等功能
        Defend_Sql_Inject_Enable : 1,
        //防CRSF攻
        Defend_CRSF_Enable : 1,
        //防Iframe嵌套
        Defend_Iframe_Enable : 0,
        //防爬虫、按键模拟
        Defend_Spider_Enable : 1,
        //防XSS攻击
        Defend_XSS_Enable : 0,
    }
    //启动BrowserWAF
    BrowserWAF_Run(config);
</script>
不胜舟-
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
7万字介绍一款waf(web应用防火墙),再也不怕有人入侵了
门柚的博客
07-28 1万+
7万字介绍一款waf(web应用防火墙),再也不怕有人入侵了 Awesome WAF 简单定义:web应用程序防火墙是位于web应用程序和客户端端点之间的安全策略实施点。该功能可以在软件或硬件中实现,可以在设备设备中运行,也可以在运行公共操作系统的典型服务器中运行。它可能是一个独立的设备或集成到其他网络组件。(来源:PCI DSS IS 6.6)...
Github第一Star数的国产免费开源防火墙--雷池社区版初步体验
qq_43023772的博客
03-29 1621
雷池社区版可谓是开源WAF界冉冉升起的一颗新星,在Github上仅仅发布了一年便成功超越了开源WAF界的老大哥ModSecurity,以8.3k+的Star数高居Github榜一,如今装机量已近10w。综上所述,网站安全可以依靠WAF,但不能完全依靠WAF,对个人的安全意识也有一定的要求,在网站开发过程中,对关键接口(如SQL查询、文件上传、远程命令)等要有良好的封装,尽最大努力减少被非法利用的可能。以下是我对雷池社区版的看法。
推荐开源项目:Ngx_WAF - 高性能Web应用防火墙
gitblog_00066的博客
04-25 294
推荐开源项目:Ngx_WAF - 高性能Web应用防火墙 项目地址:https://gitcode.com/ADD-SP/ngx_waf 项目简介 Ngx_WAF 是一个基于Nginx的高性能Web应用程序防火墙(WAF),旨在保护你的Web服务器免受各种恶意攻击和安全漏洞的影响。该项目由ADD Security Team开发并维护,采用模块化设计,具有丰富的防护规则和灵活的配置选项。 技术分析 ...
开源WAF--Safeline(雷池)测试手册
m0_60981735的博客
10-21 2872
雷池开源Waf可以抵御市面上大多数的Web攻击,本文从安装搭建使用做了详细的介绍
Linux 部署开源WAF模块 ModSecurity
夏天的博客
07-29 4471
简介   ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。ModSecurity是目前世界上使用最多的开源WAF产品,可谓是WAF界的鼻祖,很多其他WAF产品都或多或少受其影响,如OpenWAF等。 项目地址:https://github.com/SpiderLabs/ModSecurity 规则集地址:https://github.com/coreruleset/coreru
2024 值得推荐的免费开源 WAF
2301_77984496的博客
02-28 1110
谁是当前社区里最火的开源 WAF 项目?本文从 GitHub 标星数量书选出排名最高的几个开源/免费 WAF。欢迎在评论区讨论
WAF的正确bypass
10-20
**WAF的正确bypass** 是指在遇到Web应用程序防火墙(Web Application Firewall)时,通过巧妙的方法绕过其安全防护机制,实现有效测试或安全验证。WAFs设计用于保护网站免受SQL注入、跨站脚本攻击(XSS)、CSRF等...
天融信WAF安装和用户手册
03-16
天融信官方WEB防护系统的用户手册和安装手册
WAF规则编写指南
03-01
较为详细的介绍了使用modsecurity rule language编写Rule。
php-waf合集
12-24
它可能禁止特定的浏览器或代理服务器,这些可能被恶意用户利用。 3. **行为分析**:WAF可以学习和理解正常用户的浏览模式,当发现异常请求速率或非典型操作时,它可能会触发警报或阻断请求。 4. **规则引擎**:...
雷池waf配置手册大全
最新发布
05-16
保姆式教学,手把手学习,让你清晰认识waf设备
WAF和DBfirewall区别
06-01
WAF作用在浏览器和应用程序之间,使他只能够看得见用户提交的相关信息,而用户提交信息往往只是数据库SQL语句的一个碎片,缺乏对于数据库SQL的全局认知,更加不用说SQL语句的上下文关系了。WAF只能做一些基于常规异常特征以及出现过的特征进行识别和过滤,使WAF的SQL注入攻击防御效果依赖于攻击者的水平和创意,只要攻击者具有一定的创意,WAF很难防御SQL注入攻击。 数据库防火墙作用在应用服务器和数据库服务器之间,看到的是经过了复杂的业务逻辑处理之后最后生成的完整SQL语句,也就是说是攻击者的最终表现形态。由于看到的是缺乏变化的最终形态,使数据库防火墙可以比较WAF采用更加积极的防御策略,比如黑白名单策略进行异常SQL行为检测,100%防御SQL注入攻击。即使简单采用和WAF类似的黑名单策略,由于看到的信息是完整的最终信息,使其防御难度比较WAF大幅度下降,防御效果自然会更好。
Sanwaf-UI:前端卫生Web应用程序防火墙
04-18
Sanwaf框架概述 Sanwaf是一个声明性数据验证框架,无需编写任何代码即可保护您的UI和服务器 是运行在浏览器上的卫生Web应用程序防火墙 - Uses a declarative mechanism to add validation to HTML pages - Add validation to a UI elements by including custom Sanwaf-UI Attributes - Fully configurable look and feel - No custom code is required to perform validation on web pages 是在服务器上运行的卫生Web应用程序防火墙 - Sanwaf-Server secures parameters, cookies, headers and en
长亭社区版WAF部署(开源)
qq_44484541的博客
04-17 2326
ps:目前社区版 SafeLine 支持的是反向代理的方式接入站点,也就是类似于一台 nginx 服务。这时候需要做的就是让流量先抵达 SafeLine,然后经过 SafeLine 检测之后,再转发给自己原先的业务。
Apache HTTP 过滤器filter、开源WAF(ModSecurity)、Apache 模块开发
西京刀客
03-08 2415
在编写Apache模块时,需要具备C或C++编程经验和对Apache Web服务器的基本了解。另外,需要参考Apache的文档和API参考手册来编写代码和构建模块。
app信息收集和waf识别
qq_45448359的博客
04-14 627
waf Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品 WAF与网络防火墙的区别 网络防火墙作为访问控制设备,主要工作在OSI模型三、四层,基于IP报文进行检测。只是对端口做限制,对TCP协议做封堵。其产品设计无需理解HTTP会话,也就决定了无法理解Web应用程序语言如HTML、SQL语言。因此,它不可
绕过网站WAF(图片绕过)
谢公子的博客
12-07 4966
当我们在渗透一个网站的时候,很多时候,会遇到下面这种情况。网站装有WAF,把我们的SQL注入语句给拦截了。 这就是网站的安全狗 此时,我们的渗透会陷入僵局。到底应该如何才能让我们的语句绕过安全狗的检查呢? 我们可以自己写一个页面,该页面可以向网站提交数据,我们在提交数据的同时还提交一张图片,由于图片的数据过大,超过了安全狗的正则匹配的字符,我们就可以绕过了 <!DOCTYP...
「网络安全」如何在Apache 安装开源 WAF
m0_59162248的博客
07-10 201
WAF全称Web Application Firewall,即Web应用防火墙。Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,跟网络防火墙的作用不同。WAF的使用场景: 例如服务器中有些安全性比较差的应用程序,比如旧版的wordpress、discuz、phpwind等,审计和修改全部代码比较麻烦,这时候最好的办法就是通过部署WAF来实现安全防护。
2023年国内最好用的免费 WAF(防火墙) 软件!!!
空鵼
10-27 1508
2023年国内最好用的免费 WAF(防火墙) 软件!!!
WAF的实现与架构演进.pptx
05-07
WAF (Web Application Firewall) 是一种网络安全设备或服务,专门用于保护Web应用程序免受各种恶意攻击。它通过在HTTP(S)流量层级上进行深度检测和分析,能够拦截SQL注入、XSS、恶意代码注入、文件包含、敏感文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值