拆解课题¶
开源WAF产品调研¶
- 本周完成,甄选3-5款开源WAF产品,并输出调研报告
- 1-2周完成测试环境搭建
选品选型评估¶
=> 评估报告中应包含开源WAF的功能、稳定性、扩展性评估。 => 评估报告应包含关键功能、性能指标的比较
需求分析¶
1.禁止国外IP访问¶
不存在国外业务,原有阿里云禁止国外IP访问所有业务系统。 - [ ] 对策:使用Nginx 的 ngx_http_geoip2 参考https://mp.weixin.qq.com/s/H_eOPAUUytH_FPsxz3OC7g - [ ] 难点:IP地址库的定期更新维护
2.IP黑白名单¶
- [ ] 对策:参考使用ipblocks
- [ ] 难点:同上
3.OWASP Top10 漏洞检测防御¶
- [ ] 准备:靶场环境、测试工具、手动验证
- [ ] 对策:使用ModSecurity +owasp-modsecurity-crs
- [ ] 难点:防护能力待验证,CRS最近版本是2019年版
4.Bot¶
5.CC¶
6.dashboard¶
- [ ] 对策:Nginx Ngx_waf 均没有dashboard Janusec有
- [ ] 难点:自建前端技术挑战较大
7.WAF自定义规则¶
- [ ] 对策:Ngx_waf ModSecurity均支持配置语法;Janusec支持正则表达式
- [ ] 难点:ModSecurity 语法ModSecurity中文手册与正则表达式均存在学习成本 Google RE2 正则表达式
产品调研¶
一、ngx_waf¶
ngx_waf - [x] Ngx_WAF选型可研报告 ✅ 2022-06-10 开源WAF选型-Ngx_waf
二、janusec¶
安全开源 - JANUSEC-数据安全与隐私保护 - [x] Janusec选型可研报告 ✅ 2022-06-10 开源WAF选型-Janusec
三、Coraza¶
OWASP Coraza WAF - Enterprise-grade open source web application firewall library - [ ] Coraza选型可研报告
四、api-firewall¶
API Firewall overview - Wallarm Documentation
五、Awesome-WAF¶
六、~~Wallarm~~¶
WAF for Kubernetes | API Security for K8s ☝️ | Wallarm是面向K8S的API安全网关和下一代WAF,目前基于提供SAAS服务,免费试用14天。 注册地址服务器再EU和US,面临费用和网络的双重问题暂时不考虑。 doc
七、ModSecurity¶
ModSecurity - [x] ModSecurity选型可研报告 ✅ 2022-06-10
产品选型¶
WAF产品列表-from whatwaf¶
360 Web Application Firewall (360)
aeSecure (WAF)
Airlock (Phion/Ergon)
AkamaiGHost Website Protection (Akamai Global Host)
Alert Logic (SIEMless Threat Management)
AliYunDun (WAF)
Anquanbao Web Application Firewall (Anquanbao)
AnYu Web Application Firewall (Anyu Technologies)
Apache Generic
Armor Protection (Armor Defense)
Application Security Manager (F5 Networks)
ASP.NET Generic Website Protection (MS)
Apache Traffic Server (ATS web proxy)
Amazon Web Services Web Application Firewall (Amazon)
Yunjiasu Web Application Firewall (Baidu)
Barikode Web Application Firewall
Barracuda Web Application Firewall (Barracuda Networks)
Bekchy (WAF)
BIG-IP (F5 Networks)
BinarySEC Web Application Firewall (BinarySEC)
Bitninja (WAF)
BlockDos DDoS protection (BlockDos)
Chuangyu top government cloud defense platform (WAF)
Cisco ACE XML Firewall (Cisco)
CloudFlare Web Application Firewall (CloudFlare)
CloudFront Firewall (Amazon)
XSS/CSRF Filtering Protection (CodeIgniter)
Comodo Web Application Firewall (Comodo)
IBM Websphere DataPower Firewall (IBM)
Deny All Web Application Firewall (DenyAll)
DiDiYun WAF (DiDi)
DoD Enterprise-Level Protection System (Department of Defense)
DOSarrest (DOSarrest Internet Security)
dotDefender (Applicure Technologies)
DynamicWeb Injection Check (DynamicWeb)
EdgeCast Web Application Firewall (Verizon)
ExpressionEngine (Ellislab WAF)
FortiWeb Web Application Firewall (Fortinet)
Gladius network WAF (Gladius)
Google Web Services
Grey Wizard Protection
Incapsula Web Application Firewall (Incapsula/Imperva)
INFOSAFE by http://7i24.com
Instart Logic (Palo Alto)
Janusec Application Gateway (WAF)
Jiasule (WAF)
Litespeed webserver Generic Protection
Malcare (MalCare Security WAF)
Open Source Web Application Firewall (Modsecurity)
Mod Security (OWASP CSR)
NexusGuard Security (WAF)
Nginx Generic Protection
Palo Alto Firewall (Palo Alto Networks)
Anti Bot Protection (PerimeterX)
pkSecurityModule (IDS)
Powerful Firewall (MyBB plugin)
Radware (AppWall WAF)
RSFirewall (Joomla WAF)
Sabre Firewall (WAF)
SafeDog WAF (SafeDog)
SecuPress (Wordpress WAF)
Shadow Daemon Opensource (WAF)
Shield Security
Website Security SiteGuard (Lite)
SonicWALL Firewall (Dell)
Squid Proxy (IDS)
Stingray Application Firewall (Riverbed/Brocade)
StrictHttpFirewall (WAF)
Sucuri Firewall (Sucuri Cloudproxy)
Teros Web Application Firewall (Citrix)
UEWaf (UCloud)
UrlScan (Microsoft)
Varnish/CacheWall WAF
Viettel WAF (Cloudrity)
Wallarm WAF
WebKnight Application Firewall (AQTRONIX)
IBM Security Access Manager (WebSEAL)
West236 Firewall
Wordfence (Feedjit)
WTS-WAF (Web Application Firewall)
Xuanwudun WAF
Yundun Web Application Firewall (Yundun)
Yunsuo Web Application Firewall (Yunsuo)
Zscaler Cloud Firewall (WAF)
打分表¶
| 产品名称 | 技术挑战性 | 技术影响力 | 市场覆盖度 | 产品符合度 |
|---|---|---|---|---|
| Janusec | 40 | 30 | 30 | 30 |
| ModSecurity | 60 | 50 | 50 | 50 |
| Ngx_waf | 60 | 45 | 30 | 40 |
| coraza |
关键指标-通用¶
产品描述¶
略
技术描述¶
市场¶
竞争对手¶
Funding Rounds¶
关键指标-技术¶
| 关键功能对比 | 是否具备能力 | 备注 |
|---|---|---|
| SQL注入 | ||
| CC防御 | ||
| Bot | ||
| 业务逻辑攻击 | ||
| OWASP TOP10 | ||
| 跨站脚本攻击 | ||
| 敏感数据泄露 |
产品测试¶
功能测试¶
搭建测试靶场¶
搭建pikachu靶场¶
使用[[资料整理-红队资料集锦#学习靶场]]中的pikachu作为后端服务进行测试,pikachu是PHP开发的web安全测试靶场,~~docker部署存在问题,后续可以使用其他靶场如DVWA进行测试。~~ 💡问题已解决:
1. 修改dockerfile镜像 将第一行改为FROM mattrayner/lamp:latest-1604-php5
2. 修改pkxss/inc/config.inc.php 配置文件中的MySQL密码 设置与镜像一直 为空
DVWA靶场¶
- [ ] 待安装测试
工具测试¶
- 使用OWASP ZAP 进行OWASP Top 10 漏洞测试
- 使用AWVS进行web安全测试
- 使用poc测试 如log4j springcore 等
- 使用clash进行进行IP黑白名单测试
- CC攻击
- 使用Python burpsuite 浏览器等验证SSL指纹测试
- 使用🔪🐜哥斯拉等上传webshell 内存马等进行测试
- 测试WAF五元组以及Content-type结合WAF规则集进行验证
性能测试¶
ngx_waf性能测试¶
coraza性能测试¶
参考¶
Test and evaluate your WAF before hackers ☝️ 对抗工具whatwaf GitHub - acouvreur/traefik-modsecurity-plugin: Traefik plugin to proxy requests to owasp/modsecurity-crs:apache container ipblocks 2021年十大开源waf - 知乎 Traefik Modsecurity Plugin Pikachu漏洞练习平台实验——暴力破解(一) - 那少年和狗 - 博客园 Pikachu漏洞练习平台实验——XSS(二) - 那少年和狗 - 博客园 Pikachu漏洞练习平台实验——CSRF(三) - 那少年和狗 - 博客园 Pikachu漏洞练习平台实验——SQL注入(四) - 那少年和狗 - 博客园 Pikachu漏洞练习平台实验——RCE(五) - 那少年和狗 - 博客园 Pikachu漏洞练习平台实验——文件包含(File Inclusion)(六) - 那少年和狗 - 博客园 Pikachu漏洞练习平台实验——不安全的文件下载和上传(七) - 那少年和狗 - 博客园 Pikachu漏洞练习平台实验——越权漏洞(八) - 那少年和狗 - 博客园 Pikachu漏洞练习平台实验——php反序列化、XXE、SSRF(九) - 那少年和狗 - 博客园