布景
在互联网职业,Google将安全做到基础设施里边,从来是各大公司学习的典范,在Web方面,经过GFE (Google Front-End) 一致对外发布,事务只需求在GFE挂号,GFE就会调取正确的证书,保证用户到GFE的TLS衔接安全。
Microsoft在Web方面,有一款叫做Azure Application Gateway的产品,供给了一致的Web路由、负载均衡,以及WAF(Web运用防火墙)功用。
惋惜的是,这几款产品均不能用于私有化布置,Google Front-End 和 Azure Application Gateway只服务于他们本身事务以及他们自己的云客户。想要运用他们的产品,得运用他们的云服务,否则就只能无可奈何了。
对标与产品方案设计
鉴于此,笔者期望学习GFE和Azure运用网关,打造一款这样的运用安全基础设施级产品,用于自己个人网站的防护,这款产品需求具有:
1.一致的 *** 进口,可以有多个节点,合作负载均衡进行调度,即运用网关(Application Gateway);
2.WAF (Web运用防火墙) 功用,可阻拦常见的Web侵略行为(如SQL注入/指令注入/XSS/Webshell上传或衔接)、数据走漏事情等;
上图中赤色的叉叉部分表明阻拦歹意进犯行为。
3.可应对CC进犯及简略的刷单场景,到达设定阈值时可以阻拦或展现验证码。
特征
当然,上面这些是根本的功用。笔者还期望这是一款有特色、差异化的产品:
1.不要装置Agent
Agent维护起来比较费事,用浏览器装备可以更简略,比方装备运用:
2.支撑HTTPS
还要可以把证书办理起来,把私钥维护起来,不再将证书文件、私钥文件直接明文的存放在服务器某个目录下(避免黑客偷走私钥);只让网关办理人员申请和装备证书,事务人员不必触摸证书文件就可以启用HTTPS。
3.联动
许多WAF的一条战略只能查看一个当地(如GET或POST参数值),假如恳求需求结合呼应一起来断定 (或多个组合条件),就做不到了,这一点一定要打破,做到多个查看点可组合,特别是恳求(Request)和呼应(Response)可以相关(组合)起来。
4.不合法域名阻拦
从前有人用 *** _your_domain.com 这样的域名指向your_domain.com 网站,假如服务器装备不妥,有或许会正常呼应恳求,给公司带来公关危险。所以,当不合法域名指向过来的时分,应该回绝呼应。
5.证书质量
不是一切的HTTPS都是安全的,过错装备、算法的选用均有或许踩坑,如SSL 1.0, SSL 2.0, SSL 3.0以及TLS 1.0 均已呈现缝隙。典型的,假如您的事务涉及到资金付出,PCI-DSS认证会对证书质量有特别的要求,如有必要运用TLS 1.1或以上的协议版别、有必要运用前向安全算法(Forward Security)用于保证安全的密钥交流等。因而,网关默许就需求启用安全保证。
开源
是的,笔者较早前运用周末陪孩子上课的时刻,构建了这样一个只要根本功用的版别(Janusec Application Gateway),并用在个人网站上。现在跟我们共享一下:
https://github.com/Janusec/janusec
这是一款根据Golang打造的运用安全网关,具有WAF(Web运用防火墙)功用及组合战略装备,天然支撑HTTPS(契合PCI-DSS认证要求),无需Agent,私钥加密存储在数据库,供给负载均衡和一致的Web化办理进口。
还在持续完善过程中,欢迎star、fork、pull request、提交issue,或下载release体会,一起进步运用安全防护能力。
补白
该产品并不能处理一切的安全问题,不能替代抗DDoS进犯产品,也不能替代HIDS产品,更不能替代日常的安全运营作业。但当你计划从零开端构建立体的安全防护系统(特别是运用安全防护系统)的时分,可以在要害的途径上,堵截典型的侵略测验,挡住大部分勘探payload,大幅进步侵略难度,一起从一开端就可以运用此作为网关基础设施推广运用HTTPS,维护外网数据传输安全。
网络犯罪分子常常会选用多层的加密或混杂技能来躲避安全产品的检测。对加密器和封装器的运用在当今歹意软件范畴正变得越来越盛行,它们不只能为歹意代码供给所谓的“FUD”(彻底无法检测)功用,而且还能躲藏额定...
Anomali要挟研讨小组最近发现了一个网络垂钓网站假充中华人民共和国外交部电子邮件服务的登录页面。假如访问者测验登录这个垂钓页面,网站就会向他们弹出一条验证音讯,要求用户封闭窗口并持续阅读。研讨人员...
本地文件包括(LFI)缝隙,常被入侵者用来提取站点地点服务器上的不同文件内容,如passwd,hosts等。但你有没有想过将它提升到另一个层级?即经过本地文件包括来获取服务器上的浏览器shell(c9...
1. 导言 针对linux服务器进犯首要包含溢出提权进犯、端口扫描、后门程序植入等进犯手法,而针对web运用程序的进犯则掩盖愈加广泛,包含SQL注入、XSS、指令履行、文件包含、木马上传等缝隙。本文...
一、木马概述 360安全中心近期监控到一类虚拟钱银类木马十分活泼,该木马不断监控用户的剪贴板内容,判别是否为比特币、以太坊等虚拟钱银地址,然后在用户买卖的时分将方针地址修改成自己的地址,悄然施行偷盗,...
同源战略(SOP)约束了应用程序之间的信息同享,而且仅答应在保管应用程序的域内同享。这有用避免了体系秘要信息的走漏。但与此一起,也带来了别的的问题。跟着Web应用程序和微服务运用的日益增长,出于有用意...