jWAF 1.0.1 发布,开源WEB应用防火墙

栏目: 软件资讯 · 发布时间: 6年前

内容简介:jWAF是一款基于JAVA的WEB应用防火墙,用户可以jar包的方式将WAF功能集成到应用上,从而提升web应用系统的安全,减少由于外置WAF被绕过而导致web系统被黑客攻击的风险。 应用背景 目前暴露在公网上的WEB应用越来越...

jWAF是一款基于 JAVA 的WEB应用防火墙,用户可以jar包的方式将WAF功能集成到应用上,从而提升web应用系统的安全,减少由于外置WAF被绕过而导致web系统被黑客攻击的风险。

应用背景

目前暴露在公网上的WEB应用越来越多,如APP的web服务端以及基于微信公众平台开发的web应用等,目前通用的安全做法有两种:

  • 经济型:

基于nginx做反向代理借助 lua 编写配置规则实现WAF的功能。这种做法极易被绕行,白帽子通过端口扫描发现真正的服务地址绕过外置WAF直接对系统进行漏洞渗透;

  • 土豪型:

购买商业的WAF产品串联在网络的前端。这种做法可以防范外部的低级别渗透测试,目前web的安全边界越来越模糊,白帽子可借助其他漏洞攻陷内网机器从而绕过外置WAF。另外将WAF串联于网络的前端又会带来新的性能瓶颈,对高流量的互联网公司来说会带来巨大的成本。

Gartner观点

「Applications should not be delegating most of their runtime protection to the external devices. Applica-tions should be capable of self- protection (i.e., have protection features built into the application runtime environment).」(应用程序不应该依赖外部组件进行运行时保护,而应该具备自我保护的能力,也即建立应用运行时环境保护机制。)

jWAF功能简介

  • 自定义规则文件;

  • 多模式支持;

  • SQL注入防护;

  • XSS攻击防护;

  • 点击劫持攻击防护;

  • 防扫描攻击;

  • 限额管理(最大用户数、同一账户可同时登录用户数)

  • 单用户操作速度配置;

  • 逐级告警机制(系统检测到异常操作后对ip进行逐级封禁,首次5分钟,再次10分钟,第三次30分钟)

更新内容

  • 修复敏感词逃避替换bug;

  • 更正使用手册中描述不当的地方;

  • 增加操作速度限制功能;

  • 增加ip逐级封禁功能;


【声明】文章转载自:开源中国社区 [http://www.oschina.net]


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

创业在路上

创业在路上

罗永浩 / 中信出版集团 / 2018-9 / 58.00 元

★ 罗永浩的人生经历就是一本典型的创业宝典,对于如今的年轻人,具有可借鉴的实用价值。 ★ 还原了真实的、区别于公众形象的罗永浩。 ★ 送给创业者满满的干货: 比如“并不是所有人都适合创业。”“管控公司zui重要的三件事:找钱、找人和定战略方向。”“不要试图去补短板,一定不要自己去补自己不擅长的”等 ★ 《创业在路上》集结了2017年超长对话栏目《长谈》、罗永浩的创业分享课的......一起来看看 《创业在路上》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

URL 编码/解码
URL 编码/解码

URL 编码/解码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器