一个基于ngx_lua的web应用防火墙,代码很简单,开发初衷主要是使用简单,高性能和轻量级。
功能:
用于过滤post,get,cookie方式常见的web攻击
防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击
防止svn/备份之类文件泄漏.
防止ApacheBench之类压力测试工具的攻击
屏蔽常见的扫描黑客工具,扫描器
屏蔽异常的网络请求
屏蔽图片附件类目录php执行权限
防止webshell上传
相关连接:
http://blog.chinaunix.net/uid-1728743-id-3546152.html
https://github.com/openresty/lua-nginx-module
http://www.tuicool.com/articles/6B3ia2
http://netsecurity.51cto.com/art/201503/467721_all.htm
采用lua语言开发的第三方模块,它能将lua语言嵌入到nginx配置中,从而使用lua就极大增强了nginx的能力。nginx以高并发而知名,lua脚本轻便。
Naxsi是基于nginx的一个轻量级的第三方Web安全防护模块,可以实现对Web应用层各种恶意攻击的防护,如SQL injiection、XSS、CSRF、Directory traversal等攻击,能够对Web应用层的Get、Post、Cookie这些请求行为进行完整的检测和过滤。
Naxsi 依赖一个值得肯定的模型, 有多个优点, 但受一些限制束缚 :
专业的 :
快速:简约,轻量级运行
弹性:Signature-less的设计允许提高对付混淆/复杂的攻击的弹性
独立更新:Signature-less的设计允许可持续的安全, 即使没有更新
配置 :
积极的做法需要一个更重要的白名单机制而不是单靠模型
由于Naxsi就像一个网络防火墙, 如果您设置更多安全松散的规则, 您的web应用程序将无法正常保护
相关连接:
http://blog.micblo.com/2015/07/19/naxsi-tutorial-1/
Naxsi其主要防护机制是通过内置的一套极其严格的核心规则库(Core Rules)来实现威胁阻断,并通过用户自定义的白名单(White List)来防止正常的请求被误杀,通过这样正反两端的不断优化配合,来实现安全防护和业务访问的平衡。
倾向于过滤和阻止web危险,之所以强大就在于规则,OWASP提供的规则是于社区志愿者维护的,被称为核心规则CRS(corerules),规则可靠强大,当然也可以自定义规则来满足各种需求。
相关连接:
http://www.52os.net/articles/nginx-use-modsecurity-module-as-waf.html
ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.它可以作为Apache Web服务器的一个模块或单独的应用程序来运行。ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击。
本文出自 “Mask_X 博客” 博客,请务必保留此出处http://zhpfbk.blog.51cto.com/4757027/1879861
原文地址:http://zhpfbk.blog.51cto.com/4757027/1879861
