内容简介:jWAF是一款基于JAVA的WEB应用防火墙,用户可以jar包的方式将WAF功能集成到应用上,从而提升web应用系统的安全,减少由于外置WAF被绕过而导致web系统被黑客攻击的风险。 应用背景 目前暴露在公网上的WEB应用越来越...
jWAF是一款基于 JAVA 的WEB应用防火墙,用户可以jar包的方式将WAF功能集成到应用上,从而提升web应用系统的安全,减少由于外置WAF被绕过而导致web系统被黑客攻击的风险。
应用背景
目前暴露在公网上的WEB应用越来越多,如APP的web服务端以及基于微信公众平台开发的web应用等,目前通用的安全做法有两种:
经济型:
基于nginx做反向代理借助 lua 编写配置规则实现WAF的功能。这种做法极易被绕行,白帽子通过端口扫描发现真正的服务地址绕过外置WAF直接对系统进行漏洞渗透;
土豪型:
购买商业的WAF产品串联在网络的前端。这种做法可以防范外部的低级别渗透测试,目前web的安全边界越来越模糊,白帽子可借助其他漏洞攻陷内网机器从而绕过外置WAF。另外将WAF串联于网络的前端又会带来新的性能瓶颈,对高流量的互联网公司来说会带来巨大的成本。
Gartner观点
「Applications should not be delegating most of their runtime protection to the external devices. Applica-tions should be capable of self- protection (i.e., have protection features built into the application runtime environment).」(应用程序不应该依赖外部组件进行运行时保护,而应该具备自我保护的能力,也即建立应用运行时环境保护机制。)
jWAF功能简介
自定义规则文件;
多模式支持;
SQL注入防护;
XSS攻击防护;
点击劫持攻击防护;
防扫描攻击;
限额管理(最大用户数、同一账户可同时登录用户数)
单用户操作速度配置;
逐级告警机制(系统检测到异常操作后对ip进行逐级封禁,首次5分钟,再次10分钟,第三次30分钟)
更新内容
修复敏感词逃避替换bug;
更正使用手册中描述不当的地方;
增加操作速度限制功能;
增加ip逐级封禁功能;
【声明】文章转载自:开源中国社区 [http://www.oschina.net]
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- pfSense 2.4.5 发布,开源防火墙和路由器软件
- pfSense 2.4.4 发布,开源防火墙和路由器软件
- pfSense 2.4.4 发布,开源防火墙和路由器软件
- LightBulb:一个用于审计web应用程序防火墙的开源框架
- CentOS 6/7 防火墙设置 | 开启/关闭防火墙和端口
- Linux 下的防火墙
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
企业应用架构模式
Martin Fowler、王怀民、周斌 / 王怀民、周斌 / 机械工业出版社 / 2004-7 / 49.00元
本书作者是当今面向对象软件开发的权威,他在一组专家级合作者的帮助下,将40多种经常出现的解决方案转化成模式,最终写成这本能够应用于任何一种企业应用平台的、关于解决方案的、不可或缺的手册。本书获得了2003年度美国软件开发杂志图书类的生产效率奖和读者选择奖。本书分为两大部分。第一部分是关于如何开发企业应用的简单介绍。第二部分是本书的主体,是关于模式的详细参考手册,每个模式都给出使用方法和实现信息,并一起来看看 《企业应用架构模式》 这本书的介绍吧!
