0x00 常见WAF简单分析 WAF主要分为硬件WAF和软件防火墙,硬件WAF如绿盟的NSFOCUS Web Application Firewall,软件防火墙比较有名的是ModSecurity,再就是代码级别的ngx_lua_waf。下面谈谈个人对几款防火墙的理解: 硬件WAF个人觉得只适合在那种访问量较少的网站,比如政府网站,公司的介绍网站等等。硬件WAF的的优势在于规则有专门的安全公司维
modsecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器。一.准备工作系统:centos 6.5 64位、 tengine 2.1.0, modsecurity 2.8.0tengine : http://tengine.taobao
转载
精选
2015-09-15 16:25:36
2254阅读
用途:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,×××F等web攻击防止svn/备份之类文件泄漏防止ApacheBench之类压力测试工具的攻击屏蔽常见的扫描黑客工具,扫描器屏蔽异常的网络请求屏蔽图片附件类目录php执行权限防止webshell上传1.下载并解压luajit2.0.5wgethttp://luajit.org/download/LuaJIT-2.0.5.tar
原创
2019-08-09 20:42:44
1460阅读
点赞
1 WAF功能WAF全称叫Web Application Firewall,和传统防火墙的区别是,它是工作在应用层的防火墙,主要对web请求/响应进行防护。那么WAF有什么功能呢?防火墙都是防御性的产品,有防就有攻,要了解WAF有什么功能,就要从者的角度去思考。的目的要么是为了利益,要么是为了炫技。目前者大多都是闷声发大财,很少会为了炫技而惹上麻烦。那么,目标越大,越有价值。一个攻
转载
2023-07-17 19:17:10
92阅读
Nginx WAF 防护功能实战 下载地址 https://github.com/egzosn/ngx_lua_waf 用途: 防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击 防止svn/备份之类文件泄漏 防止ApacheBench之类压力测试工具的攻击 屏蔽常见的扫描黑客工具,扫描器 屏蔽异常的网络请求 屏蔽图片附件类目录php执行权限 防止webshell
nginx源码分析nginx-1.11.1
参考书籍《深入理解nginx模块开发与架构解析》Nginx的master与worker工作模式在生成环境中的Nginx启动模式基本都是以master/worker为主进行启动运行,通过master/worker的工作方式可以利用多核系统的并发处理能力,master主要就是负责与worker进程进行通信,控制并负载每个worker进程的连接处理以达到wor
本人未测试过,保存以后使用。 ngx_lua_waf是我一个基于ngx_lua的web应用防火墙。代码很简单,开发初衷主要是使用简单,高性能和轻量级。现在开源出来.其中包含我们的过滤规则。如果大家有什么建议和想fa,欢迎和我一起完善。用途:用于过滤post,get,cookie方式常见的web攻击防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击防止sv
转载
精选
2016-01-15 17:32:17
621阅读
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 Nginx+lua后续添加waf支持前言一、waf是什么?二、安装使用1.前提2.开始安装1.下载并解压ngx_lua_waf2. 创建攻击日志目录hack并授予权限3. 修改waf的相关配置4. 修改nginx.conf 配置5. 重启nginx6. 检查规则是否生效7.规则说明 前言近期公司测试环境的应用经常被扫描出来有一些安全
ngx_lua_waf 安装说明文档代码很简单,开发初衷主要是使用简单,高性能和轻量级。现在开源出来.其中包含我们的过滤规则。如果大家有什么建议和想fa,欢迎和我一起完善。用途:用于过滤post,get,cookie方式常见的web攻击防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击防止svn/备份之类文件泄漏防止ApacheBench之类压力测试工具的攻击屏蔽
转载
2019-06-21 10:33:00
195阅读
一、了解WAF1.1 什么是WAFWeb应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。1.2 WAF的功能支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。支持URL白名单,将不需要
转载
2018-06-19 23:53:05
10000+阅读
几年前,开始在公众视野中不断爆发出应用的安全问题。当时想着应用运维能否也能在nginx中为应用做一层防护,基于该前提下,在Nginx中用Lua做WAF的架构就开始启动。在这里和大家分享一下这套小东西。
整个 WAF 系统的结构
拦截处理模块( nginx 、Lua)
日志收集模块( lua、kafka )
日志分析模块(spark + mysql )
什么是WAFWeb应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。实现WAF两种方式使用nginx+lua来实现WAF,须在编译nginx的时候配置上lua部署OpenResty,不需要在编译ngi
1 概述nginx常用功能有三:正反代理、负载均衡、动静分离。近一年的时间,一头扎在B/S结构的项目上,nginx常见的应用形式基本都能接触到一点点,这里简单总结下,便于日后自己复习。2 代理用一个例子来说明: A是一名顾客,要买一套房子;B是中介,手里有C的房源信息;C是房屋的拥有者,准备出售房屋。理论上A直接找C买了房子就可以了,但是A和C互相不认识,A和C无法达成交易。A找了B,B找了C,这
之前的文章中介绍了nginx的一种waf,是添加modsecurity模块来作为nginx的waf,功能很强大,nginx官方plus版本中其实也是用modsecurity作为waf的,但是modsecurity对于普通用户来说配置相对复杂,特别是它的规则,所以,今天推荐一个开源、高性能、低规则维护的waf——NaxsiNaxsi用于防护XSS和SQL注入以及RFI、文件上传、CSRF,这些都是w
原创
2021-03-10 15:24:16
831阅读
之前的文章中介绍了nginx的一种waf,是添加modsecurity模块来作为nginx的waf,功能很强大,nginx官方plus版本中其实也是用modsecurity作为waf的,但是modsecurity对于普通用户来说配置相对复杂,特别是它的规则,所以,今天推荐一个开源、高性能、低规则维护的waf——NaxsiNaxsi用于防护XSS和SQL注入以及RFI、文件上传、CSRF,这些都是w
原创
2021-03-16 19:35:19
2473阅读
nginx+ngx_lua支持WAF防护功能
原创
2018-02-28 16:37:09
1936阅读
点赞
目录Nginx能做什么1.反向代理2.负载均衡2.1 RR(默认)2.2 权重2.3 ip_hash2.4 fair(第三方)2.5 url_hash(第三方)3.HTTP服务器3.1 动静分离4.正向代理5.热启动6.应用场景和示例6.1Nginx的应用场景6.2示例本文只针对Nginx在不加载第三方模块的情况能处理哪些事情,由于第三方模块太多所
Zhongkui-WAF钟馗是中国传统文化中的一个神话人物,被誉为“捉鬼大师”,专门驱逐邪恶之物。Zhongkui-WAF的命名灵感来源于这一神话人物,寓意着该软件能够像钟馗一样,有效地保护Web应用免受各种恶意攻击和威胁。Zhongkui-WAF基于lua-nginx-module,可以多维度检查和拦截恶意网络请求,具有简单易用、高性能、轻量级的特点。它的配置简单,你可以根据实际情况设置不同的安
ngx_lua_waf 安装说明文档
作者github地址:
https://github.com/loveshell/ngx_lua_waf
-----------------------------------------------------------------------------------------------------
使用Nginx+Lua实现的WAF网站防护功能
原创
2019-02-19 16:12:49
4949阅读
