布景
在互联网职业,Google将安全做到基础设施里边,从来是各大公司学习的典范,在Web方面,经过GFE (Google Front-End) 一致对外发布,事务只需求在GFE挂号,GFE就会调取正确的证书,保证用户到GFE的TLS衔接安全。
Microsoft在Web方面,有一款叫做Azure Application Gateway的产品,供给了一致的Web路由、负载均衡,以及WAF(Web运用防火墙)功用。
惋惜的是,这几款产品均不能用于私有化布置,Google Front-End 和 Azure Application Gateway只服务于他们本身事务以及他们自己的云客户。想要运用他们的产品,得运用他们的云服务,否则就只能无可奈何了。
对标与产品方案设计
鉴于此,笔者期望学习GFE和Azure运用网关,打造一款这样的运用安全基础设施级产品,用于自己个人网站的防护,这款产品需求具有:
1.一致的 *** 进口,可以有多个节点,合作负载均衡进行调度,即运用网关(Application Gateway);
2.WAF (Web运用防火墙) 功用,可阻拦常见的Web侵略行为(如SQL注入/指令注入/XSS/Webshell上传或衔接)、数据走漏事情等;
上图中赤色的叉叉部分表明阻拦歹意进犯行为。
3.可应对CC进犯及简略的刷单场景,到达设定阈值时可以阻拦或展现验证码。
特征
当然,上面这些是根本的功用。笔者还期望这是一款有特色、差异化的产品:
1.不要装置Agent
Agent维护起来比较费事,用浏览器装备可以更简略,比方装备运用:
2.支撑HTTPS
还要可以把证书办理起来,把私钥维护起来,不再将证书文件、私钥文件直接明文的存放在服务器某个目录下(避免黑客偷走私钥);只让网关办理人员申请和装备证书,事务人员不必触摸证书文件就可以启用HTTPS。
3.联动
许多WAF的一条战略只能查看一个当地(如GET或POST参数值),假如恳求需求结合呼应一起来断定 (或多个组合条件),就做不到了,这一点一定要打破,做到多个查看点可组合,特别是恳求(Request)和呼应(Response)可以相关(组合)起来。
4.不合法域名阻拦
从前有人用 *** _your_domain.com 这样的域名指向your_domain.com 网站,假如服务器装备不妥,有或许会正常呼应恳求,给公司带来公关危险。所以,当不合法域名指向过来的时分,应该回绝呼应。
5.证书质量
不是一切的HTTPS都是安全的,过错装备、算法的选用均有或许踩坑,如SSL 1.0, SSL 2.0, SSL 3.0以及TLS 1.0 均已呈现缝隙。典型的,假如您的事务涉及到资金付出,PCI-DSS认证会对证书质量有特别的要求,如有必要运用TLS 1.1或以上的协议版别、有必要运用前向安全算法(Forward Security)用于保证安全的密钥交流等。因而,网关默许就需求启用安全保证。
开源
是的,笔者较早前运用周末陪孩子上课的时刻,构建了这样一个只要根本功用的版别(Janusec Application Gateway),并用在个人网站上。现在跟我们共享一下:
https://github.com/Janusec/janusec
这是一款根据Golang打造的运用安全网关,具有WAF(Web运用防火墙)功用及组合战略装备,天然支撑HTTPS(契合PCI-DSS认证要求),无需Agent,私钥加密存储在数据库,供给负载均衡和一致的Web化办理进口。
还在持续完善过程中,欢迎star、fork、pull request、提交issue,或下载release体会,一起进步运用安全防护能力。
补白
该产品并不能处理一切的安全问题,不能替代抗DDoS进犯产品,也不能替代HIDS产品,更不能替代日常的安全运营作业。但当你计划从零开端构建立体的安全防护系统(特别是运用安全防护系统)的时分,可以在要害的途径上,堵截典型的侵略测验,挡住大部分勘探payload,大幅进步侵略难度,一起从一开端就可以运用此作为网关基础设施推广运用HTTPS,维护外网数据传输安全。
这是一个名叫ReBreakCaptcha的逻辑缝隙,而这个缝隙将答应你轻松地绕过网站所选用的GoogleReCaptcha v2验证码。 技能概览 早在2019年,我就开端研讨怎么才干绕过Google...
众所周知,PHP将查询字符串(在URL或正文中)转换为$_GET或$_POST中的相关数组。例如:/ ?foo=bar被转换为Array([foo] => "bar")。查询字符串解析进程运用下...
XLoader和FakeSpy是最近手机要挟范畴两款干流的歹意软件宗族。XLoader最早是2019年4月被陈述运用DNS缓存投毒或DNS诈骗技能来用歹意安卓APP从受害者设备中盗取PII和金融数据,...
端口映射是什么? 端口映射就是将外网的IP地址上的端口映射到内网中一台机器,当访问这个外网ip的端口,就会将用户的央求映射到指定机器中,不理解看下面就懂了。 远控端口映射原理 不少人学员初学远控的时...
上周末,一个好兄弟找我说一个很重要的方针shell丢了,这个shell之前是经过一个S2代码履行的缝隙拿到的,现在缝隙还在,不过web目录悉数不可写,问我有没有办法搞个webshell持续做内网。正好...
前语 本文合适Web安全爱好者,其中会说到8种思路,7个东西和还有1个小程序,看本文前需求了解相关的Web基础知识、子域名相关概念和Python 程序的基础知识。 感谢我的老友龙哥的技巧大放送以及Or...