自动登录网站的小程序,东莞 包装制品 东莞网站建设,深圳创业补贴2024,青浦华新网站建设前言
近期准备搭建一个博客网站#xff0c;用来存储工作室同学们的学习笔记。服务器准备直接放在公网上#xff0c;方便大家随时随地的上传和浏览#xff0c;为了防止网站被人日穿成为肉鸡#xff0c;一些防御措施还是要部署的。
首先明确自己的需求#xff1a;
零成本…前言
近期准备搭建一个博客网站用来存储工作室同学们的学习笔记。服务器准备直接放在公网上方便大家随时随地的上传和浏览为了防止网站被人日穿成为肉鸡一些防御措施还是要部署的。
首先明确自己的需求
零成本 效果好易使用
很明显适合我的就只有开源WAF
在经过相关资料的查阅后我选择了雷池社区版
为什么呢详看介绍
介绍
雷池社区版可谓是开源WAF界冉冉升起的一颗新星在Github上仅仅发布了一年便成功超越了开源WAF界的老大哥ModSecurity以8.3k的Star数高居Github榜一如今装机量已近10w。
为什么会有雷池社区版
雷池的商业版本自发布以后就受到各大咨询机构和诸多头部企业的认可虽然雷池大卖但是头部企业真的太少在这个世界上只有很小的一个群体使用过雷池产品我们很遗憾没有将智能语义分析算法发扬光大。
为了让更广大的用户零成本感受语义分析算法的能力今年四月份我们在 GitHub 发布了雷池的社区免费版本。
为什么它如此受到欢迎呢
官方完备的文档各个用户体验后发表的博客最终凝练成的五个字–“简单且好用”
为什么它如此好用
雷池社区版是长亭科技根据企业版雷池Web应用防护系统提炼出来的核心检测能力由长亭首创的智能语义分析算法驱动。这种算法比传统的正则匹配有着更好的检出率误报率以及准确率且检测耗时远低于平均值。 安装和使用 一.安装 官方非常贴心的准备好了一键安装功能
只需要在安装好docker的情况下输入一键安装指令就可以部署完成了
安装雷池 | 雷池 WAF 社区版 (chaitin.cn)
这里就不多赘述了
二.使用 1.登录 登录过程就不展示了
值得一提的是waf控制台登录每次都会有服务器生成的随机密码应该没人会把密码记下来吧和动态口令验证无特殊情况应该是没人能拿下后台。
2.功能展示 (1)数据统计 登陆成功后映入眼帘的清爽界面绝对是一大加分项
简洁清晰又明了
(2)攻击事件 在服务器收到具有威胁的请求时
waf会根据防护模块的等级来判断请求来决定是否放行 (3)防护站点 采用反向代理模式
waf作为客户端与服务器通信的中间件
会对发送来的每个数据包进行过滤并转发
3.功能体验(针对网站防护功能的部分测试)
(1)目录扫描测试 当客户端对服务器敏感文件发起请求时
waf会将请求拦截
即便没达到拦截的危险等级也会纳入攻击事件以达预警作用
(2)sql注入测试
为了对比sql注入将在不同的防护等级下进行
使用的工具是sqlmap
①仅观察 首先是观察模式下
轻松爆出表 waf有提示但是会全部放行
②平衡防护 平衡防护等级下依旧能爆出表
但是服务器能拦截下部分请求 根据报文可以发现是User-Agent触发了关键词 在经过User-Agent伪造后又会出现0拦截情况
③高强度防护 在高强度防护模式下可以拦截住大部分注入请求但还是能爆出表
以及手工注入情况下也不会拦截但是会预警 ps:这个不是waf的问题因为用于测试的环境是一个比较入门的0防CTF靶场在正常网站中前后端代码过滤配合waf应该能起到很好的防护作用
(3)文件上传测试 两条观察记录分别是文件上传检测平衡防护和高强度防护等级下的
根据报文分析可以看出waf对这种php木马只检测不拦截(可能是太低级了)
(4)rce测试 rce也是一样只检测不拦截
三.总结 综上所述网站安全可以依靠WAF但不能完全依靠WAF对个人的安全意识也有一定的要求在网站开发过程中对关键接口(如SQL查询、文件上传、远程命令)等要有良好的封装尽最大努力减少被非法利用的可能。
以下是我对雷池社区版的看法
优点: 1.便于使用
一键安装容器式管理适配多种运行环境配置开箱即用无需大量调整繁琐规则简洁操作专为社区设计轻松上手实现躺平式管理
2.防御效果好
国内首创、业内领先的智能语义分析算法突破传统规则算法的极限精准检测、低误报、难绕过提供多维度 Web 应用防护
3.高性能、高并发、高可用性
采用无规则引擎线性安全检测算法平均请求检测延迟在 1 毫秒级别。并发能力强单核轻松检测 2000 TPS
能够快速分析出各个请求包中潜在的威胁并作出决策使网站维护人员能对攻击进行防范或及时修复被发现的漏洞
适用于: 1.对安全需求不高的小型网站
2.刚刚接触WAF想要找到一款值得长期使用的WAF的用户
不适用于: 1.有商用需求的用户
2.对网站安全有相对高的中小型企业或个人站长
3.因预算原因不考虑云厂商的高阶安全服务的用户
以上需求需要了解一下雷池专业版或雷池企业版。
总的来说本次测评比较仓促但是毋庸置疑的是雷池社区版是一款很好用的WAF
可以造福很多个人和小型企业网站的网站维护人员称得上国产之光
刚接触WAF想要找到一款值得长期使用的WAF的用户
不适用于: 1.有商用需求的用户
2.对网站安全有相对高的中小型企业或个人站长
3.因预算原因不考虑云厂商的高阶安全服务的用户
以上需求需要了解一下雷池专业版或雷池企业版。
总的来说本次测评比较仓促但是毋庸置疑的是雷池社区版是一款很好用的WAF
可以造福很多个人和小型企业网站的网站维护人员称得上国产之光
也希望雷池越来越好让企业的Slogan“不让黑客越雷池一步。”广为人知
