Pages

Sunday, 24 November 2019

ngx_lua_waf

ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙。

##ngx_lua_waf
ngx_lua_waf是我刚入职趣游时候开发的一个基于ngx_lua的web应用防火墙。
代码很简单,开发初衷主要是使用简单,高性能和轻量级。
现在开源出来,遵从MIT许可协议。其中包含我们的过滤规则。如果大家有什么建议和想fa,欢迎和我一起完善。
###用途:
防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击
防止svn/备份之类文件泄漏
防止ApacheBench之类压力测试工具的攻击
屏蔽常见的扫描黑客工具,扫描器
屏蔽异常的网络请求
屏蔽图片附件类目录php执行权限
防止webshell上传
###推荐安装:
推荐使用lujit2.1做lua支持
ngx_lua如果是0.9.2以上版本,建议正则过滤函数改为ngx.re.find,匹配效率会提高三倍左右。
###使用说明:
nginx安装路径假设为:/usr/local/nginx/conf/
把ngx_lua_waf下载到conf目录下,解压命名为waf
在nginx.conf的http段添加
 lua_package_path "/usr/local/nginx/conf/waf/?.lua";
    lua_shared_dict limit 10m;
    init_by_lua_file  /usr/local/nginx/conf/waf/init.lua; 
 access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;
配置config.lua里的waf规则目录(一般在waf/conf/目录下)
    RulePath = "/usr/local/nginx/conf/waf/wafconf/"
绝对路径如有变动,需对应修改
然后重启nginx即可
###配置文件详细说明:
 RulePath = "/usr/local/nginx/conf/waf/wafconf/"
    --规则存放目录
    attacklog = "off"
    --是否开启攻击信息记录,需要配置logdir
    logdir = "/usr/local/nginx/logs/hack/"
    --log存储目录,该目录需要用户自己新建,切需要nginx用户的可写权限
    UrlDeny="on"
    --是否拦截url访问
    Redirect="on"
    --是否拦截后重定向
    CookieMatch = "on"
    --是否拦截cookie攻击
    postMatch = "on" 
    --是否拦截post攻击
    whiteModule = "on" 
    --是否开启URL白名单
    black_fileExt={"php","jsp"}
    --填写不允许上传文件后缀类型
    ipWhitelist={"127.0.0.1"}
    --ip白名单,多个ip用逗号分隔
    ipBlocklist={"1.0.0.1"}
    --ip黑名单,多个ip用逗号分隔
    CCDeny="on"
    --是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;)
    CCrate = "100/60"
    --设置cc攻击频率,单位为秒.
    --默认1分钟同一个IP只能请求同一个地址100次
    html=[[Please go away~~]]
    --警告内容,可在中括号内自定义
    备注:不要乱动双引号,区分大小写
###检查规则是否生效
部署完毕可以尝试如下命令:
    curl http://xxxx/test.php?id=../etc/passwd
    返回"Please go away~~"字样,说明规则生效。
注意:默认,本机在白名单不过滤,可自行调整config.lua配置。

from https://github.com/loveshell/ngx_lua_waf
-------

LuaWAF

A secure and privately deployable web application firewall(WAF).一个安全、可私有部署的Web应用防火墙(WAF)。
https://luawaf.com

一个用Lua写的WEB应用防火墙(WAF)。

新版本将会陆续更新。

如果你发现了绕过漏洞,请在Issues中提交详细细节。

English version README

全新版本

一年来,我断断续续对此WAF进行了更新,目前已经完成了以下工作,有时间我会陆陆续续上传代码:

  1. 访问控制功能:IP黑白名单控制、地域黑白名单控制(国家省市)、URI级别的CC防御
  2. 检测正则升级,支持更多更新的攻击类型检测防护
  3. 尝试更改为分布式版本
  4. AI引擎测试,效果并不理想。
  5. 新写了Go语言版本的中心控制节点、Vue版本的前端控制中心
  6. SSL配置
  7. 测试性的边缘函数(不成熟的)
  8. 完善了扫描器、机器人识别规则
  9. 新增了全自动封禁恶意IP功能

新版本目录

/
    luawaf           -waf引擎(lua)
    webFrontend      -前端(vue)
    webBackend       -后端(Go)

新版概览

WAF配置页面

WAF配置页面

CC防护规则页面

CC防护规则页面

访问控制页面

访问控制页面

旧版本

以下内容均为旧版本内容,新版本将会陆续更新。

如何使用

安装 OpenResty

在不同的操作系统上安装OpenResty有不同的方法。这里我只拿CentOS7做演示。

yum update -y
yum install readline-devel pcre-devel openssl-devel perl gcc automake autoconf libtool make epel-release redis -y
cd Downloads
wget https://openresty.org/download/openresty-1.15.8.1.tar.gz
tar -xzvf openresty-1.15.8.1.tar.gz
cd openresty-1.15.8.1
./configure --with-luajit\
            --with-http_iconv_module
gmake
gmake install
echo export PATH=$PATH:/usr/local/openresty/nginx/sbin >> /etc/profile
echo export LUAJIT_LIB=/usr/local/openresty/luajit/lib >> /etc/profile
echo export LUAJIT_INC=/usr/local/openresty/luajit/include/luajit-2.1 >> /etc/profile
source /etc/profile

mkdir /usr/local/openresty/nginx/logs/luawaf
chown nobody /usr/local/openresty/nginx/logs/luawaf

克隆这个项目

这个项目能在任何安装了OpenResty的操作系统上运行,包括但不限于CentOS。

git clone https://github.com/wubonetcn/luawaf.git
cp luawaf /usr/local/openresty/nginx/conf/

编辑 /usr/local/openresty/nginx/conf/nginx.conf

vim /usr/local/openresty/nginx/conf/nginx.conf

/usr/local/openresty/nginx/conf/nginx.conf

user  nobody;
worker_processes  1;

error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       mime.types;
    default_type  application/octet-stream;

    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';

    #access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    #gzip  on;

    server {
        listen       80;
        server_name  localhost;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {
            root   html;
            index  index.html index.htm;
        }

        #error_page  404              /404.html;

        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }

        # proxy the PHP scripts to Apache listening on 127.0.0.1:80
        #
        #location ~ \.php$ {
        #    proxy_pass   http://127.0.0.1;
        #}

        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        #
        #location ~ \.php$ {
        #    root           html;
        #    fastcgi_pass   127.0.0.1:9000;
        #    fastcgi_index  index.php;
        #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
        #    include        fastcgi_params;
        #}

        # deny access to .htaccess files, if Apache's document root
        # concurs with nginx's one
        #
        #location ~ /\.ht {
        #    deny  all;
        #}
    }


    # another virtual host using mix of IP-, name-, and port-based configuration
    #
    #server {
    #    listen       8000;
    #    listen       somename:8080;
    #    server_name  somename  alias  another.alias;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}


    # HTTPS server
    #
    #server {
    #    listen       443 ssl;
    #    server_name  localhost;

    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;

    #    ssl_session_cache    shared:SSL:1m;
    #    ssl_session_timeout  5m;

    #    ssl_ciphers  HIGH:!aNULL:!MD5;
    #    ssl_prefer_server_ciphers  on;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}
    lua_package_path "/usr/local/openresty/nginx/conf/luawaf/?.lua;/usr/local/openresty/lualib/?.lua;;";
    lua_shared_dict limit 10m;
    init_by_lua_file  /usr/local/openresty/nginx/conf/luawaf/init.lua; 
    access_by_lua_file /usr/local/openresty/nginx/conf/luawaf/main.lua;

}

运行 Nginx

nginx

享受它!

详细设计文档

请阅读如下文章。

这个项目借鉴了 loveshell/ngx_lua_waf,感谢 神奇的魔法师. 这个项目修复了原项目存在的一些绕过漏洞。

更新日志

  • 2019.07.09 增加了LUAJIT_LIB与LUAJIT_INC配置项以支持LUAJIT
  • 2019.06.12 开源此项目

from  https://github.com/wubonetcn/luawaf
-----

ngx_waf:方便且高性能的Nginx防火墙模块


这是一个新开发的nginx防火墙模块,前段时间作者加入了一个类似cloudflare防cc攻击的5秒盾功能,这里就搭建起来试试看。

系统debian10,通过包管理器安装的nginx1.14.2,下面通过编译动态模块的方式来使用。

安装编译nginx所需的依赖:

apt -y update
apt -y install wget git build-essential zlib1g-dev libssl-dev libpcre3-dev libgeoip-dev libgd-dev libxml2-dev libxslt1-dev

安装编译此模块所需的依赖:

apt -y install uthash-dev libsodium23 libsodium-dev

下载nginx1.14.2的源码解压:

mkdir -p /opt/build && cd /opt/build
wget http://nginx.org/download/nginx-1.14.2.tar.gz
tar -xzvf nginx-1.14.2.tar.gz

拉取ngx_waf的源码:

git clone https://github.com/ADD-SP/ngx_waf.git
cd ngx_waf
git clone https://github.com/libinjection/libinjection.git inc/libinjection

进入到nginx的源码目录:

cd /opt/build/nginx-1.14.2

查看当前机器nginx的编译参数:

nginx -V

回显类似于:



去掉上图内所有“添加动态模块”的参数:


--add-dynamic-module=/build/nginx-m1Thpq/nginx-1.14.2/debian/modules/http-auth-pam
--add-dynamic-module=/build/nginx-m1Thpq/nginx-1.14.2/debian/modules/http-dav-ext
--add-dynamic-module=/build/nginx-m1Thpq/nginx-1.14.2/debian/modules/http-echo
--add-dynamic-module=/build/nginx-m1Thpq/nginx-1.14.2/debian/modules/http-upstream-fair
--add-dynamic-module=/build/nginx-m1Thpq/nginx-1.14.2/debian/modules/http-subs-filter

其他的参数复制保留下来,加入到下面的配置中:

./configure --add-dynamic-module=/opt/build/ngx_waf \
--<除去原Nginx的所有add-dynamic-module参数后,剩下的参数都应该加在这里,也记得去掉这个括号>

之后编译模块:

make modules

把编译好的模块复制到nginx的模块加载目录:

cp objs/ngx_http_waf_module.so /usr/share/nginx/modules

编辑nginx主配置文件:

nano /etc/nginx/nginx.conf

在顶行加入下面的配置:

load_module modules/ngx_http_waf_module.so;

重启nginx:

systemctl restart nginx

如果正常的话,现在就可以来配置模块了。

ngx_waf的配置需要写到server段内,下面新建一个nginx站点配置文件:

nano /etc/nginx/conf.d/waf.conf

一个示例配置:

server {
  listen      80;
  server_name ngxwaf.233.fi;
  root        /var/www/html/flappyfrog;
  index       index.html;

  waf on; # 是否启用模块
  waf_rule_path /opt/build/ngx_waf/assets/rules/; # 模块规则
  waf_mode STD !CC; # 启用普通模式并关闭CC防护
  waf_cache capacity=50; # 缓存配置
  waf_under_attack on uri=/under-attack.html; # 配置5秒盾
}

把测试用的html复制到站点的根目录下:

cp /opt/build/ngx_waf/assets/under-attack.html /var/www/html/flappyfrog

重载nginx:

systemctl reload nginx

关于此模块还有很多其他可配置项,具体的可以看官方的文档:

https://add-sp.github.io/ngx_waf/zh-cn/advance/directive.html