现在软WAF的开发,大部分都选用Nginx+Lua根据openresty的 *** ,安全防护战略如果是根据lua正则匹配http恳求内容的话,在加载了很多的防护规矩后,nginx的功用会大大下降。
本文选用了lua+naxsi整合的 *** ,运用lua来完成如cc进犯的防护、IP拜访频率约束等相对杂乱的安全防护战略,运用Naxsi来防护相对简略的http恳求内容战略规矩,有用的取长补短,大大提高nginx 防护功用。
0×01 WAF功用
Naxsi在本WAF中首要完成根据http恳求内容的防护战略规矩,用于防护一些常见的缝隙,如:
SQL注入进犯 XSS进犯 目录遍历缝隙 指令注入进犯 虚拟补丁 扫描器进犯等
Lua在本waf中首要担任完成相对杂乱的安全防护战略,如cc进犯防护、大局IP拜访频率约束、特定url拜访频率约束、ip是非名单防护、url白名单防护、http恳求转发等功用。
WAF办理后台可完成WAF节点的统一办理,本WAF能够根据云WAF方式布置或许直接嵌入到使用现有的nginx的 *** 布置。
0×02 WAF架构
0×03 WAF办理后台
因为WAF运用了两个独立的nginx模块,所以需求两套彻底不同的装备文件。naxsi模块的防护规矩装备需求以文件的方式下发到nginx节点,Lua代码也需求以文件的方式下发到nginx节点。为完成文件的下发和同步,咱们将装备文件放到WAF的办理端,由WAF的nginx节点定时经过http拜访办理端下载装备文件。
其间naxsi的装备文件建议和lua的代码分隔寄存。
装备文件的办理,为了避免修正装备文件犯错而形成nginx运转反常,咱们经过python脚本结合nginx查看装备文件是是否正确,而且做到了装备文件有更新才去服务端拉取文件而且reload nginx,避免了频频的reload nginx节点。
def get_rules_file(rulesdir,rulesfile):
for filename in os.listdir(rulesdir):
if filename not in ['files.txt', 'files.md5', 'get_naxsi-rules.py', 'install_naxsi_rules.py']:
CalcMD5(rulesdir,filename,rulesfile)
def CalcMD5(path,filename,rulesfile):
filepath = path + filename
with open(filepath,'rb') as f:
md5obj = hashlib.md5()
md5obj.update(f.read())
hash = md5obj.hexdigest()
rulesfile.write(filename + ';,' + hash + 'n')
print filename + ';,' + hash
def calc_files_md5(filedir,fimename):
files_md5 = open(fimename,"w")
filepath = filedir + 'files.txt'
with open(filepath,'rb') as f:
md5obj = hashlib.md5()
md5obj.update(f.read())
hash = md5obj.hexdigest()
files_md5.write(hash)
f.close()
def check_rules():
check = commands.getstatusoutput("/usr/local/nginx/ *** in/nginx -t")
if check[0] == 0:
pattern = re.compile(r'test is successful')
match = pattern.search(check[1])
if match:
msg = "rules update successful"
print msg
get_rules_file(rulesdir,naxsi_rulesfile)
naxsi_rulesfile.close()
calc_files_md5(rulesdir,naxsi_md5_file)
get_rules_file(lua_waf_dir, lua_waf_file)
lua_waf_file.close()
[1] [2] 黑客接单网
# ./check目前受影响的Spring Cloud Config 版本:https://github.com/go-gitea/gitea/releases/tag/v1.7.61. 蠕虫威胁,类...
WannaMine是个“无文件”僵尸网络,在侵略过程中无任何文件落地,只是依托WMI类特点存储ShellCode,并经过“永久之蓝”缝隙进犯兵器以及“Mimikatz+WMIExec”进犯组件进行横向...
「黑客接单2017_微信被盗了哪里找黑客帮忙-找漏洞黑客高手」import java.rmi.registry.LocateRegistry; ws.onclose = func...
许多时分对方针进行浸透时一般会从web、网络设备、针对性垂钓这三个方向下手。假定咱们操控了方针网络中的一台网络设备,如路由器,内网用户流量会从这个当地通过咱们怎样获取其权限呢 ? 这种时分可以在路由器...
然后装置日前,暗码办理公司SplashData第8次发布了年度最弱暗码列表。 研究人员剖析了互联网上走漏的超越500万个暗码,发现计算机用户仍然在运用可猜测的、很简略就可以猜到的暗码。 运用这些暗码存...
远程桌面服务可以发现,出错了,但是被afdko捕获了。 写在前面的话2. 严格要求修复漏洞或缓解漏洞风险;寻黑客、红客。我想创办个网站、全国目前没有。最, 此外,在直接向Cisco反馈之前,我的一个小...