ngx_lua_waf模块
模块介绍
一个基于ngx_lua的web应用防火墙,代码很简单,开发初衷主要是使用简单,高性能和轻量级。
功能:
- 用于过滤post,get,cookie方式常见的web***
- 防止sql注入,本地包含,部分溢出,fuzzing测试,xss,×××F等web***
- 防止svn/备份之类文件泄漏.
- 防止ApacheBench之类压力测试工具的***
- 屏蔽常见的扫描***工具,扫描器
- 屏蔽异常的网络请求
- 屏蔽图片附件类目录php执行权限
- 防止webshell上传
防御机制
采用lua语言开发的第三方模块,它能将lua语言嵌入到nginx配置中,从而使用lua就极大增强了nginx的能力。nginx以高并发而知名,lua脚本轻便。
Naxsi模块
模块介绍
Naxsi是基于nginx的一个轻量级的第三方Web安全防护模块,可以实现对Web应用层各种恶意***的防护,如SQL injiection、XSS、CSRF、Directory traversal等***,能够对Web应用层的Get、Post、Cookie这些请求行为进行完整的检测和过滤。
Naxsi 依赖一个值得肯定的模型, 有多个优点, 但受一些限制束缚 :
- 专业的 :
- 快速:简约,轻量级运行
- 弹性:Signature-less的设计允许提高对付混淆/复杂的***的弹性
- 独立更新:Signature-less的设计允许可持续的安全, 即使没有更新
- 配置 :
- 积极的做法需要一个更重要的白名单机制而不是单靠模型
- 由于Naxsi就像一个网络防火墙, 如果您设置更多安全松散的规则, 您的web应用程序将无法正常保护
防御机制
Naxsi其主要防护机制是通过内置的一套极其严格的核心规则库(Core Rules)来实现威胁阻断,并通过用户自定义的白名单(White List)来防止正常的请求被误杀,通过这样正反两端的不断优化配合,来实现安全防护和业务访问的平衡。
ModSecurity模块
模块介绍
倾向于过滤和阻止web危险,之所以强大就在于规则,OWASP提供的规则是于社区志愿者维护的,被称为核心规则CRS(corerules),规则可靠强大,当然也可以自定义规则来满足各种需求。
防御机制
ModSecurity是一个***探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.它可以作为Apache Web服务器的一个模块或单独的应用程序来运行。ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的***。
转载于:https://blog.51cto.com/zhpfbk/1879861