jWAF 1.0.1 发布,开源WEB应用防火墙

栏目: 软件资讯 · 发布时间: 6年前

内容简介:jWAF是一款基于JAVA的WEB应用防火墙,用户可以jar包的方式将WAF功能集成到应用上,从而提升web应用系统的安全,减少由于外置WAF被绕过而导致web系统被黑客攻击的风险。 应用背景 目前暴露在公网上的WEB应用越来越...

jWAF是一款基于 JAVA 的WEB应用防火墙,用户可以jar包的方式将WAF功能集成到应用上,从而提升web应用系统的安全,减少由于外置WAF被绕过而导致web系统被黑客攻击的风险。

应用背景

目前暴露在公网上的WEB应用越来越多,如APP的web服务端以及基于微信公众平台开发的web应用等,目前通用的安全做法有两种:

  • 经济型:

基于nginx做反向代理借助 lua 编写配置规则实现WAF的功能。这种做法极易被绕行,白帽子通过端口扫描发现真正的服务地址绕过外置WAF直接对系统进行漏洞渗透;

  • 土豪型:

购买商业的WAF产品串联在网络的前端。这种做法可以防范外部的低级别渗透测试,目前web的安全边界越来越模糊,白帽子可借助其他漏洞攻陷内网机器从而绕过外置WAF。另外将WAF串联于网络的前端又会带来新的性能瓶颈,对高流量的互联网公司来说会带来巨大的成本。

Gartner观点

「Applications should not be delegating most of their runtime protection to the external devices. Applica-tions should be capable of self- protection (i.e., have protection features built into the application runtime environment).」(应用程序不应该依赖外部组件进行运行时保护,而应该具备自我保护的能力,也即建立应用运行时环境保护机制。)

jWAF功能简介

  • 自定义规则文件;

  • 多模式支持;

  • SQL注入防护;

  • XSS攻击防护;

  • 点击劫持攻击防护;

  • 防扫描攻击;

  • 限额管理(最大用户数、同一账户可同时登录用户数)

  • 单用户操作速度配置;

  • 逐级告警机制(系统检测到异常操作后对ip进行逐级封禁,首次5分钟,再次10分钟,第三次30分钟)

更新内容

  • 修复敏感词逃避替换bug;

  • 更正使用手册中描述不当的地方;

  • 增加操作速度限制功能;

  • 增加ip逐级封禁功能;


【声明】文章转载自:开源中国社区 [http://www.oschina.net]


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

重构(影印版)

重构(影印版)

Martin Fowler / 中国电力出版社 / 2003-7-1 / 49.00元

随着对象技术应用越来越普及,软件开发社区出现了一个新的问题。缺乏经验的开发者编写出了大批设计较差的程序,导致这些应用程序非常低效,且难于维护和扩展。本书除了讨论重构的各种技巧之外,还提供了超过70个可行重构的详细编目,对如何应用它们给出了有用的提示;并以step by step的形式给出了应用每一种重构的指南;而且用实例展示了重构的工作原理。这些示例都是用Java语言写成的,但其中的思想却可以运用......一起来看看 《重构(影印版)》 这本书的介绍吧!

MD5 加密
MD5 加密

MD5 加密工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具