jWAF是一款基于JAVA的WEB应用防火墙,用户可以jar包的方式将WAF功能集成到应用上,从而提升web应用系统的安全,减少由于外置WAF被绕过而导致web系统被黑客攻击的风险。 应用背景 目前暴露在公网上的WEB应用越来越多,如APP的web服务端以及基于微信公众平台开发的web应用等,目前通用的安全做法有两种: 经济型: 基于nginx做反向代理借助lua编写配置规则实现WAF的功能。这种做法极易被绕行,白帽子通过端口扫描发现真正的服务地址绕过外置WAF直接对系统进行漏洞渗透; 土豪型: 购买商业的WAF产品串联在网络的前端。这种做法可以防范外部的低级别渗透测试,目前web的安全边界越来越模糊,白帽子可借助其他漏洞攻陷内网机器从而绕过外置WAF。另外将WAF串联于网络的前端又会带来新的性能瓶颈,对高流量的互联网公司来说会带来巨大的成本。 Gartner观点 「Applications should not be delegating most of their runtime protection to the external devices. Applica-tions should be capable of self- protection (i.e., have protection features built into the application runtime environment).」(应用程序不应该依赖外部组件进行运行时保护,而应该具备自我保护的能力,也即建立应用运行时环境保护机制。) jWAF功能简介 自定义规则文件; 多模式支持; SQL注入防护; XSS攻击防护; 点击劫持攻击防护; 防扫描攻击; 限额管理(最大用户数、同一账户可同时登录用户数) 单用户操作速度配置; 逐级告警机制(系统检测到异常操作后对ip进行逐级封禁,首次5分钟,再次10分钟,第三次30分钟) 更新内容 修复敏感词逃避替换bug; 更正使用手册中描述不当的地方; 增加操作速度限制功能; 增加ip逐级封禁功能; jWAF 1.0.1 发布,开源WEB应用防火墙下载地址
