应用防护(WAF)

开源WAF

  1. https://github.com/starjun/openstar

商业WAF

WAF策略建设内容

  1. 通用型主流漏洞检测与防护
  2. 最近出现高危1day\0day漏洞检测与防护
  3. 针对企业特定场景的检测与防护

WAF检测

  1. owasp测试指南:http://doc.bigyoung.cn/blog-6.html
  2. 各主流Web漏洞扫描器:
  3. 漏洞侧实验室平台bWAPP:http://www.itsecgames.com/

WAF优化

  1. 算法优化
    • 放弃无风险的纯静态资源请求
    • 优先匹配关键字符串,不匹配不进入后续计算
    • 按header头各字段分别定义匹配条件
    • 仅需字符串匹配的零规则,不走正则引擎
  2. 正则优化
    Google出品的正则引擎RE2是目前公认的较好引擎,相比传统古老的PCRE引擎更快速高效,可以作为引擎的首选。但在实际使用过程中RE2存在一个明显的问题(至少笔者写书的时候还存在),那就是对二进制数据流匹配存在问题,例如“隐含恶意代码的图片文件上传”这类场景中无法使用。那么就要求WAF支持规则配置不同的正则引擎,当评估某类规则可能碰到二进制数据流时,可配置为PCRE引擎,默认则用RE2。
文档更新时间: 2021-07-22 20:08   作者:young