基于高性能,低成本的想法,发现了@loveshell开发的ngx_lua_waf,经过实际使用下来,确实性能极好,由于LUA语言的性能是接近于C的,而且ngx_lua_module本身就是基于为nginx开发的高性能的模块。安全宝的云 WAF,以及cloudflare的新waf也是基于此模块使用LUA开发的。结合ModSecurity的思路,参考@loveshell的ngx_lua_waf来开发适...
需求2:各个站点可以独立进行控制,包括waf开发,日志开关以及使用的规则 0x03 需求实现 针对需求1,流程图如下: nginx.conf关键代码: waf.lua关键代码: 访问过程分析: 当一个用户访问到waf服务器时,首先获取host参数,根据网址配置里查询到对应的upstream,给预先定义的变量$upstream,从而达到正确转发的目的。 而且后期还...
ngx_lua_waf是一个基于ngx_lua开源强大的Web应用轻量级防火墙,它可以帮助我们提高网站的安全性和防护能力。通过安装和配置ngx_lua_waf,我们可以轻松地定制安全规则,实现灵活的安全防护。同时,WAF的实时日志记录和报警功能可以帮助我们及时发现和处理安全问题。 二、安装与使用 ngx_lua_waf使用需要基于openresty,传统的ngi...
ngx_lua_waf是一个开源的Web应用防火墙项目,它基于Nginx和Lua语言开发。ngx_lua_waf通过Nginx的Lua模块(ngx_http_lua_module)实现,可以利用Nginx的事件驱动模型,实现高性能的访问控制和请求处理。此外,ngx_lua_waf还提供了丰富的规则库和扩展接口,方便用户自定义防护策略。 三、安装和配置ngx_lua_waf 安装Nginx和Lu...
Web应用防火墙(WAF)作为一种有效的安全防护措施,能够帮助我们识别和阻挡各种网络攻击。ngx_lua_waf是一个基于Lua的Nginx模块,它提供了一个强大而灵活的WAF解决方案。 一、ngx_lua_waf简介 ngx_lua_waf利用Nginx的高性能和Lua脚本的灵活性,为Web应用提供了实时检测和防护功能。它支持自定义规则、黑白名单、限流、...
解决ngx_lua_waf总是提示参数错误的问题 最近服务上了ngx_lua_waf以防御攻击,但是ngx_lua_waf的参数确实有些严格,导致自己写文章都被BAN,于是看了看源码,发现可以添加url白名单功能,这不就搞定了! 确定URL 第一步要确定你要加入白名单的URL是什么,然后写一个通用正则试着匹配。
ngx_lua_waf CCrate频率设置 内存池:对资源进行统一的管理,我们只需要申请,在不使用的时候,进行统一释放,好处的话,便于管理,不好的地方就是不能做到太精度的释放,反正如何使用都要看自己,自己如何把握。 先来看下内存的池的结构体 AI检测代码解析 typedef struct {...
WAF主要分为硬件WAF和软件防火墙,硬件WAF如绿盟的NSFOCUS Web Application Firewall,软件防火墙比较有名的是ModSecurity,再就是代码级别的ngx_lua_waf。 0x00 常见WAF简单分析 WAF主要分为硬件WAF和软件防火墙,硬件WAF如绿盟的NSFOCUS Web Application Firewall,软件防火墙比较有名的是ModSecurity,再就是代码级别的ngx_lua...
介绍: ngx_lua_waf是⼀个基于ngx_lua的web应⽤防⽕墙。 主要⽤途有: 防⽌sql注⼊,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击 防⽌svn/备份之类⽂件泄漏 防⽌ApacheBench之类压⼒测试⼯具的攻击 屏蔽常⻅的扫描⿊客⼯具,扫描器 屏
ngx_lua_waf利用HPP完全绕过防御机制 这个洞比较有意思,利用代码中的一段错误,导致我们可以利用hpp来完全绕过防御规则。 WAF绕过中,对规则与正则的绕过总是有局限性的。这个洞也如我之前发的360webscan白名单绕过一样,不管你用怎样严格的正则,防御怎样的攻击,我这里直接无视。 不过与360webscan使用pathinfo来绕过不一...