搭建x-waf,测试体验web防护

已于 2023-01-04 17:22:04 修改
阅读量1k 收藏 4
点赞数 1
文章标签: 前端 服务器 运维
于 2022-12-30 18:20:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangyouchang/article/details/128498800
版权

X-WAF

X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费WAF。

主要特性

  • 支持对常见WEB攻击的防御,如sql注入、xss、路径穿越,阻断扫描器的扫描等
  • 对持对CC攻击的防御
  • waf为反向模式,后端保护的服务器可直接用内网IP,不需暴露在公网中
  • 支持IP、URL、Referer、User-Agent、Get、Post、Cookies参数型的防御策略
  • 安装、部署与维护非常简单
  • 支持在线管理waf规则
  • 支持在线管理后端服务器
  • 多台waf的配置可自动同步
  • 跨平台,支持在linux、unix、mac和windows操作系统中部署

安装部署

一、下载openresty
测试下载的版本为 openresty-1.21.4.1.tar.gz
执行以下命令:

tar zxf openresty-1.21.4.1.tar.gz
cd openresty-1.21.4.1/
./configure
gmake && gmake install

openresty 将会默认安装到 /usr/local/openresty 路径下

二、下载x-waf
解压后 将 x-waf 目录拷贝到 /usr/local/openresty/nginx/conf 目录下,如图:
在这里插入图片描述
并在 /usr/local/openresty/nginx/conf 目录下新增 vhosts目录

mkdir -p  /usr/local/openresty/nginx/conf/vhosts

在vhosts目录新增demo.conf配置,配置内容如下:

server {
  listen       10180;
  server_name 192.168.0.56;
  location / {
      root   html;
      index  index.html index.htm;
  }
}

如图所示:
在这里插入图片描述
在这里插入图片描述
三、启动openresty服务

#检测配置是否正常
/usr/local/openresty/nginx/sbin/nginx -t
#启动服务
/usr/local/openresty/nginx/sbin/nginx 
#重启
/usr/local/openresty/nginx/sbin/nginx -s reload

四、验证配置网站是否能正常打开
在这里插入图片描述
浏览器访问:出现Welcome to OpenResty!,说明配置正常。

五、安装x-waf-admin 管理页面
下载x-waf-admin
这边下载的是x-waf-admin0.1-linux-amd64.tar.gz,感兴趣的可以根据文档进行源码编译安装。
解压后上传到服务器
在这里插入图片描述
将 server 执行权限更换为可执行

chmod 0777 server

进行conf目录 修改app.ini参数
如图:

在这里插入图片描述
确认里面的路径是否正确,配置数据库的账号密码以及访问IP
启动 x-waf-admin

./server

如图:
在这里插入图片描述
服务启动成功后,默认会在配置的数据库新增表和默认的账号密码。
默认的账号是:admin
默认的密码是:x@xsec.io

登录进去可以对站点进行管理,以及一些基本的waf规则
在这里插入图片描述
六、测试体验
根据上述规则进行测试,如图:
在这里插入图片描述
拿一些正式的业务的网站进行测试,大部分的防护基本满足,但相关的防御规则可能存在绕过的方式,懂lua的同学可以对相关规则进行优化,加强防御。

嗼唸
关注
WEB应用防护系统技术详解(上)
weixin_44983560的博客
09-11 118
cookie:是指某些网站为了辨别用户身份,进行session跟踪,而存储在用户本地终端上的数据(通常经过加密)。cookie的一些典型应用:1、登录某些网站时还留存之前的登录信息,再一次进入网站时保留用户信息简化登录手续。2、另一个应用如购物车,用户在挑选多个商品后,添加到购物车,最后在付款时提取信息。cookie还分为会话性与持久性,会话性Cookie,仅保存在客户端内存中,并在用户关闭浏览器时失效;
测试-WAF防护测试-2020.8.27.docx
09-01
这个是公司新买了一台WAF,我测试功能是否正常时的记录。仅供同学们参考,没有太多的技术含量。如果同学们在使用的过程中有不明白的地方可以咨询我
浅测 长亭雷池 WAF “动态防护
Anye 博客
06-03 966
雷池 WAF 社区版的更新速度是真快啊,几乎一周一个小版本,俩月一个大版本,攻城狮们真的狠啊,没法测了。废话不多说,前两天看到了这篇文章,对雷池的“动态防护”功能挺感兴趣,特地来试试。
手把手部署雷池WAF
最新发布
m0_74375496的博客
07-19 1841
根据实际情况选择安装方式,支持一键安装环境检测: 查看环境是否符合安装要求在线安装: 推荐方式,一行命令完成安装离线安装: 下载离线安装包,轻松完成安装其他方式安装: 使用牧云助手,点击即可完安装。
搭建开源云WAF1:X-WAF
wellt的博客
04-18 2833
初始 很多朋友都学过流量分析的课程,我是学信息安全专业的,清楚的认识的到一个WAF,对于一个网站的重要性。目前来说,基于Web的黑客入侵仍然是现阶段主流的入侵方式。一直以来都想找一个开源的WAF研究一下,于是在GitHub上面找到了X-WAF,这款开源的云WAF试试。 从介绍文档中我们看到,X-WAF的特性和我...
x-waf-admin0.1-linux-amd64.tar.gz
08-11
waf
获取并安装XWAF框架压缩包(2)
weixin_30607029的博客
11-01 115
建议在Eclipse环境下使用XWAF框架来开发用户的Web项目,并遵循以下步骤和约定。 1、获取XWAF框架压缩包文件 程序员点击下列地址免费下载XWAF框架的压缩包文件:XWAF框架压缩文件 2、安装XWAF框架 下载XWAF框架的压缩包文件后,其名称格式类似于:com.xwaf_10.jar 将该文件放到用户Web项目的子目录“WEB-INF/lib/”中即完成了安装。 转...
【小迪安全day08】信息收集-架构,搭建防护应用WAF
RichUee的博客
11-29 681
Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。分为软件和硬件,在安全公司单位购买的防火墙都是硬件,个人网站和小企业搭建都是软件。
HTTP -- WAF
neei的博客
11-07 1058
Http -- WAF1,几种Web攻击2,WAF2.1 WAF功能2.2 WAF实现原理 1,几种Web攻击 DDoS(洪水攻击):黑客控制许多“僵尸”计算机,向目标服务器发起大量无效请求。服务器无法区分正常用户和黑客,挤占正常用户应有资源。攻击强度大像“洪水”一样对网站的服务能力造成冲击,耗尽带宽、CPU 和内存,导致网站完全无法提供正常服务 SQL注入:字符串拼接形成 SQL 语句的漏洞,构造出非正常的 SQL 语句,获取数据库内部的敏感信息。 HTTP头注入:在“Host”“User-Agent”
2020小迪安全第八天笔记-(信息收集)架构,搭建,WAF
weixin_51566416的博客
12-05 1109
目录 信息收集-架构,搭建,WAF 等 信息收集思路图: 搜索引擎关键字搜索技巧: 站点搭建 #WAF 防护分析 演示案例: 涉及资源 笔记来源视频:【小迪安全】web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili​​​​​​ 信息收集-架构,搭建,WAF 等 在安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响 到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小,换言之决定 着是否能完成目标的测试任务。也可以很直接的跟大家说:渗透测试的思路 就
渗透测试waf绕过基础
qi_SJQ_的博客
01-28 3830
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 思维导图 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 思维导图: 一、信息收集 此处只针对对于目标网站直接扫描的信息收集讲解,其他辅助信息收集手段如:查旁站/识别cms等手段也不会遇到waf拦截。 1.安全狗—防ddos cenos目前用的不熟练,于是我将服务器系统换成了winserver,搭建web环境和安全狗,打开cc拦截开关,本地.
xwaf:自动旁路(强力)WAF
03-06
wa 是一个python写的waf自动绕过工具,上一个版本是 ,xwaf分类bypass_waf更智能,可无人干预,自动暴破waf 免责声明 [!]法律免责声明:未经事先相互同意,使用xwaf.py攻击目标是非法的。最终用户有责任遵守所有适用的地方,州和联邦法律。开发人员不承担任何责任,也不对任何滥用或错误负责。该程序造成的损坏。 [!]法律免责声明:事先事先同意,使用本程序攻击目标是非法的。使用本程序的最终用户有责任遵守所有适用的地方,国家法律。 ,非法使用不承担任何责任。 要求 python3 pip3 mysql linux(test on ubuntu and kali2.0,others should based on debain) python3安装可参考如下步骤 apt-get install python3 或: wget https://www.python.org
x-waf, 适用于中小企业的云waf.zip
09-17
x-waf, 适用于中小企业的云waf
WAF6.X-旁路部署.doc
08-07
旁路检测模式,顾名思义,就是只检测,不阻断的模式,此模式部署,WAF只能记录攻击+访问日志,不能对数据包进行阻断处理; 旁路检测+阻断,就是指交换机配置镜像流量给WAFWAF既能监测,又能阻断的部署方式。具体原理是:交换机把镜像流量给WAFWAF检测到有攻击后,给服务器发送RST数据包,告诉服务器有攻击,服务器则丢弃此数据包; 反向代理模式:由WAF作为代理服务器
X-WAF简单测试体验
08-27 2567
 X-WAF 最近才关注到的一款云WAF,花了一些时间搭建了一个环境,并做了一些测试,感觉比较适合新手来练习WAF Bypass。 X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。 官网:https://waf.xsec.io/ 源码:https://github.com/xsec-lab 安装部署 系统版本:Centos6.5 x86...
靶场waf搭建
willing-sir的博客
01-26 239
靶场waf搭建 这里应朋友的要求写一篇关于waf搭建的教程。这个搭建过程其实并不复杂,但是过程中还是碰到了一些细小的问题。 搭建准备:phpstudy,V4版的安全狗 官网下载网站安全狗Apache版,这里我下的是Windows 搭建安全狗的过程中最容易出问题的地方首先就是会一直提醒没有apache服务,这里我们要把这个安全狗安装到Apache套件所在的文件位置,在此之前要做的是进入到phpst...
X-WAF 安装配置指南
weixin_30328063的博客
08-10 1358
X-WAF 是一款方便易用的云WAF,使用反向代理的方式介入Web服务器和访问者之间,不需要像 modSecurity 和 Naxsin 那样作为nginx的模块,需要进行编译安装 X-WAF使用 OpenResty 作为反向代理软件,并借助 OpenResty 的 Lua 作为防御脚本的编写和运作工具 所以,实际上X-WAF就是一个运行在 OpenResty 上的 Lua 脚本,并...
8.架构,搭建WAF
博客地址 www.sec0nd.top
07-22 572
文章目录前言知识点CMS 识别技术源码获取技术架构信息获取站点搭建分析搭建习惯-目录型站点搭建习惯-端口类站点搭建习惯-子域名站点搭建习惯-类似域名站点搭建习惯-旁注,C 段站点搭建习惯-搭建软件特征站点WAF 防护分析什么是 WAF 应用?如何快速识别 WAF?识别 WAF 对于安全测试的意义? 前言 在安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响 到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小,换言之决定 着是否能完成目标的测试任务。也可以很直接的跟大家说:渗透测试的思路 就是从
0907架构搭建WAF
weixin_44418203的博客
09-07 598
架构搭建WAF
X-WAF SQL注入防御漏洞多种绕过方法详解
本文主要探讨的是如何绕过X-WAF(一款适用于中小企业的云Web应用防火墙)的SQL注入防御机制。X-WAF提供了一个免费的云服务,使得中小企业能够轻松部署安全防护。文章以实战案例的方式,从代码层面深入解析了X-WAF的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

嗼唸

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值