jWAF 1.0.1 发布,开源WEB应用防火墙 - 开源中国社区
jWAF 1.0.1 发布,开源WEB应用防火墙
周海生 2018年02月22日

jWAF 1.0.1 发布,开源WEB应用防火墙

周海生 周海生 发布于2018年02月22日 收藏 30 评论 2

jWAF是一款基于JAVA的WEB应用防火墙,用户可以jar包的方式将WAF功能集成到应用上,从而提升web应用系统的安全,减少由于外置WAF被绕过而导致web系统被黑客攻击的风险。

应用背景

目前暴露在公网上的WEB应用越来越多,如APP的web服务端以及基于微信公众平台开发的web应用等,目前通用的安全做法有两种:

  • 经济型:

基于nginx做反向代理借助lua编写配置规则实现WAF的功能。这种做法极易被绕行,白帽子通过端口扫描发现真正的服务地址绕过外置WAF直接对系统进行漏洞渗透;

  • 土豪型:

购买商业的WAF产品串联在网络的前端。这种做法可以防范外部的低级别渗透测试,目前web的安全边界越来越模糊,白帽子可借助其他漏洞攻陷内网机器从而绕过外置WAF。另外将WAF串联于网络的前端又会带来新的性能瓶颈,对高流量的互联网公司来说会带来巨大的成本。

Gartner观点

「Applications should not be delegating most of their runtime protection to the external devices. Applica-tions should be capable of self- protection (i.e., have protection features built into the application runtime environment).」(应用程序不应该依赖外部组件进行运行时保护,而应该具备自我保护的能力,也即建立应用运行时环境保护机制。)

jWAF功能简介

  • 自定义规则文件;

  • 多模式支持;

  • SQL注入防护;

  • XSS攻击防护;

  • 点击劫持攻击防护;

  • 防扫描攻击;

  • 限额管理(最大用户数、同一账户可同时登录用户数)

  • 单用户操作速度配置;

  • 逐级告警机制(系统检测到异常操作后对ip进行逐级封禁,首次5分钟,再次10分钟,第三次30分钟)

更新内容

  • 修复敏感词逃避替换bug;

  • 更正使用手册中描述不当的地方;

  • 增加操作速度限制功能;

  • 增加ip逐级封禁功能;

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:jWAF 1.0.1 发布,开源WEB应用防火墙
分享
评论(2)
最新评论
0
这些是好东西 waf
0
看看
顶部