# NGINX WAF Docker简介
NGINX(发音为“engine X”)是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3代理服务器。它被广泛用于加速网站和分发内容,以及作为负载平衡器和Web应用程序防火墙(WAF)。
WAF是一种网络安全工具,用于保护Web应用程序免受恶意攻击。它可以检测和阻止SQL注入、跨站脚本(XSS)和其他常见的Web应用程序漏洞。
D
原创
2024-07-07 05:10:23
43阅读
导读:Python猫是一只喵星来客,它爱地球的一切,特别爱优雅而无所不能的 Python。我是它的人类朋友豌豆花下猫,被授权润色与发表它的文章。如果你是第一次看到这个系列文章,那我强烈建议,请先看看它写的前两篇文章(链接见文末),相信你一定会爱上这只神秘的哲学+极客猫的。不多说啦,一起来享用今天的“思想盛宴”吧!睡觉是我最爱做的事——因为可以懒懒地做美梦,不用吃东西,不用跟人吵架,不用关心世界大
首先确定下你的linux上docker是否存在如输入 docker images 后,提示如下,就说明不存在那么接下来就需要做先把docker安装好,具体可以参考菜鸟教程,我的机器是centos,所以我的安装如下:docker安装如果你之前有docker旧版本,需要先卸载:sudo yum remove docker \
docker-client \
转载
2023-10-15 14:03:49
83阅读
web防火墙(waf)免费开源的比较少,并且真正可以商用的WAF少之又少,modsecurity 是开源防火墙鼻祖并且有正规公司在维护着,目前是https://www.trustwave.com在维护,不幸的是2024 年 7 月将不再维护交还开源社区管理,Trustwave目前打造自己的web防火墙,至于是否免费开源就不得而知了。ModSecurity目前依然是开源,免费的WAF一哥,我们就先用
转载
2023-10-27 15:07:05
219阅读
istio之故障注入&流量拆分&流量镜像&熔断目录 文章目录istio之故障注入&流量拆分&流量镜像&熔断目录本节实战1、故障注入注入 HTTP 延迟故障==? 实战:注入 HTTP 延迟故障-2023.11.12(测试成功)==注入 HTTP abort 故障==? 实战:注入 HTTP abort 故障-2023.11.12(测试成功)==2、流
对于容器安全性,有许多开源工具可以帮助开发者避免遭遇安全问题,本文介绍了 9 个实用的 Docker 安全工具。1. Docker Bench for Security这是一个脚本,用于检查有关在生产中部署 Docker 容器的许多最佳解决方案。Docker Bench 的测试基于 CIS 基准测试,来实现手动漏洞测试的自动化过程。2. Clair这是一个容器漏洞分析服务,它提供了一个
转载
2024-01-15 13:24:41
136阅读
对于纯离线环境的用户,如果你的设备完全无法连接互联网,可以参考这种方式安装雷池。但是需要注意,纯离线环境下雷池的部分能力可能会受限。
之前介绍了Nginx的两种开源waf,Naxsi和ModSecurity,有人担心直接上生产会不会有问题,拦截正常请求,我想说——那是必然会影响的现在大多WAF都是通过规则匹配请求特征,有规则,肯定就不会那么智能的避开所有正常请求,只拦截恶意请求,虽然现在有百度的openrasp等不依赖于请求特征的运行时攻击检测工具,但是也不能做到完全准确的拦截攻击或恶意请求怎么才能比较友好的在线上接入Naxsi
原创
2021-03-10 15:21:09
694阅读
之前介绍了Nginx的两种开源waf,Naxsi和ModSecurity,有人担心直接上生产会不会有问题,拦截正常请求,我想说——那是必然会影响的现在大多WAF都是通过规则匹配请求特征,有规则,肯定就不会那么智能的避开所有正常请求,只拦截恶意请求,虽然现在有百度的openrasp等不依赖于请求特征的运行时攻击检测工具,但是也不能做到完全准确的拦截攻击或恶意请求怎么才能比较友好的在线上接入Naxsi
原创
2021-03-16 19:30:55
1283阅读
文章目录一、防火墙、WAF、IPS、IDS介绍1.1 防火墙 (Firewall)1.2 WAF (Web Application Firewall) Web应用防火墙1.3 IDS (Intrusion Detection System) 入侵检测系统1.4 IPS (Intrusion Prevention System) 入侵防御系统二、WAF分类2.1 云WAF2.2 硬件WAF2.3
转载
2023-11-05 16:41:06
79阅读
Web应用防护系统(也称:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。产生背景:当WEB应用越来越为丰富的同时,WEB
服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、
转载
精选
2015-03-14 23:57:29
1844阅读
Web应用防护系统(也称为:网站应用级入侵防御系
转载
2021-08-10 10:16:21
250阅读
WAFWeb Application Firewall的缩写为“WAF”,中文意思“Web应用防火墙”,也称“网站应用级入侵防御系统”。WAF是集web防护、网页保护、负载均衡、应用交付于一体的web整体安全防护设备。 WAF部署在web服务器前面,串行接入,主要技术是对入侵的检测能力,尤其是对Web服务器入侵的检测能力。常见的实现形式包括代理服务、特征识别、算法识别、模式识别。 代理
转载
2023-10-08 19:52:24
37阅读
Web应用防护系统(也称为:网站应用级防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对/HTTPS的安全策略来专门为Web应用提供保护的一款产品。中文名Web应用防护系统外文名WAF又称网站应用级防御系统功能专门为Web应用提供保护目...
转载
2022-04-11 15:09:05
443阅读
专注IaaS的产品化云厂商ZStack与云原生智能运维厂商MiaoYun秒云宣布:联合推出云原生智能运维解决方案。该方案整合了ZStack Cloud云平台与秒云云原生智能运维中台,充分发挥各自在云基础设施、云原生、智能运维层面的技术优势,帮助企业轻松构建、部署、管理、监控和运维云原生环境,解决企业生产环境中的基础设施云化、容器化,应用部署简化,运维管理自动化等难题,帮助企业做到一秒入云,一键智维
Nginx WAF 防护功能实战 下载地址 https://github.com/egzosn/ngx_lua_waf 用途: 防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击 防止svn/备份之类文件泄漏 防止ApacheBench之类压力测试工具的攻击 屏蔽常见的扫描黑客工具,扫描器 屏蔽异常的网络请求 屏蔽图片附件类目录php执行权限 防止webshell
转载
2024-02-20 21:50:34
111阅读
目录1. and和or绕过2. 空格过滤绕过 1. and和or绕过and和or的作用:and关键字表示同时满足两个条件,例如测试字符型注入和数字型注入用到的and 1=1和and1=2两个条件语句。or表示满足其中一个条件即可,例如报错注入时用到的or语句 下面是后台过滤and和or关键字的源代码:function blacklist($id)
{
$id= preg_re
转载
2023-10-28 12:57:45
116阅读
原文应该有图片存在,但是由于网络原因无法显示,所以本文中没有这些图片,文章最后几个链接很重要 mitmproxy一个交互式,兼容https的中间人http代理,带控制台界面
mitmdump类似与tcpdump,是http版本的,哈哈,也就是mitmproxy的命令行版本
libmproxy,是mitmproxy依赖库功能窃听 http请求和响应,并可以修改他们保存 完整的http会话,供以后
转载
2024-05-03 13:00:30
86阅读
WAF简介WAF是(Web Application Firewall)的简称,一般称为web应用防火墙(waf防火墙),用于屏蔽过滤常见漏洞攻击,sql,xml,xss等,针对应用层的入侵检测(只针对应用层)。次要功能是作网站加速用CDN等。
WAF分为三种,三类WAF优缺点均有但工作流程几乎相同。云WAF(阿里云盾,百度云加速)用户的请求首先发送到云端节点进行检测,如存在异常请求则进行拦截否则将
转载
2023-08-04 16:18:17
67阅读
文章目录一、waf分类二、waf的工作原理 前言: 在实际的渗透测试过程中,经常会碰到网站存在WAF的情况。网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,我们需要手动进行WAF的绕过,而绕过WAF前肯定需要对WAF 的工作原理有一定的理解。 一、waf分类WAF分为非嵌入型WAF和嵌入型WAF,非嵌入型指的是硬WAF、
转载
2023-07-12 13:43:54
199阅读
