WAF（WebApplicationFirewall），中文名叫做“Web应用防火墙”WAF的定义是这样的：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,通过从上面对WAF的定义中，我们可以很清晰地了解到：WAF是一种工作在应用层的、通过特定的安全策略来专门为Web应用提供安全防护的产品。

0x00前言ngx\_lua\_waf是一款基于ngx\_lua的web应用防火墙，使用简单，高性能、轻量级。默认防御规则在wafconf目录中，摘录几条核心的SQL注入防御规则：select.(from|limit)(?:(union(.?)select))(?:from\Winformation_schema\W)这边

利用WAF为Web应用提供防护，在这里，我们以Naxsi为例来演示下如何利用WAF来为其后端的Web应用提供安全防护。Naxsi是一个开放源代码、高效、低维护规则的Nginxweb应用防火墙模块。Naxsi的主要目标是帮助人们加固他们的web应用程序，以抵御SQL注入、跨站脚本、跨域伪造请求、本地和远程文件包含漏洞。（WebApplicationFir

通常情况下，网站访问并不是简单地从用户的浏览器直达服务器，中间可能部署有CDN、WAF、高防。例如，采用这样的架构：“用户CDN/WAF/高防源站服务器”。那么，在经过多层代理之后，服务器如何获取发起请求的真实客户端IP呢？一个透明的代理服务器在把用户的HTTP请求转到下一环节的服务器时，会在HTTP的头部中加入一条“XForwarded

传统WAF的弊端传统WAF通常使用正则表达式的形式,以关键字定义攻击特征,拿知名的modsecurity引擎来看,这个世界上80%的WAF都是由它来驱动的,但是它通常有一些什么规则,让我们来剖析一下●union,用\x61代替了字母a,破坏了关键字特征,因

自定义规则配置教程大家在使用waf的时候，因为业务特殊性和waf的严格校验，有时会产生误报，阻拦合法流量。这个时候，只能通过自定义规则进行补充，选择加白名单或者黑名单。很多人会说配置黑白名单失效了，其实95%以上都是自己配置错了，黑白名单没有生效导致的。由

今天分享一款轻量好用又强悍的Web应用防火墙。前言随着项目的运营，业务规模逐渐扩大，茫茫多的WEB业务被开放到公网上，随之带来的安全问题不容小觑。前段时间刚创建的一个实例，只挂了一个web服务器，就受到了大量的扫描和反序列化等攻击。很难想象一个正常的web

12月9日，由中国信息通信研究院主办的“墙墙联合——云上防火墙技术沙龙”在线上顺利举行，研发专家吴雷分享了新标准、新需求下云Web应用防火墙（云WAF）的发展方向，并介绍了天翼云Web应用防火墙（原生版）的功能及特性。会上，信通院云WAF评估结果发布，天翼

想象一下，互联网就是一片汪洋大海，网站是船，用户是水手，而恶意攻击者就是海上的“海盗”。而雷池WAF就是你船上的“护航舰队”，时刻防御各种海盗袭击，包括SQL注入、跨站脚本攻击（XSS）、以及你可能没听过的“缓冲区溢出攻击”。WAF为什么需要高可用性即便你

随着网络安全风险持续上升，Web应用防火墙已成为网站安全的基础组件。对个人开发者而言，开源的雷池WAF能提供企业级的安全防护，但单纯使用WAF面临几个显著挑战：1.DDoS防护能力有限：源站防护无法有效应对大流量攻击2.性能瓶颈：所有流量直接打到WAF宿主