文档章节

Openresty添加了waf后却没生效

七木网络科技
 七木网络科技
发布于 2016/04/12 21:48
字数 345
阅读 302
收藏 1

    今天和前端讨论了一下,考虑到前端没有啥安全性,无论我怎么加密,除了用https的正规CA证书,真的没卵用。所以就决定弄弄csrf以及waf。csrf暂时会然调试变得困难,所以就弄waf。

    waf这个开源库弄得最好的就是loveshell的,网址是:https://github.com/loveshell/ngx_lua_waf,下下来按照文档放到服务器中,并按实际情况修改了waf的config.lua文件中的路径。

    一运行,发现提示404。看了下错误日志,表示找不到waf.lua这个文件,检查了一下,路径啥的决定没问题,但是为什么还没找到呢?还好以前被坑过,是因为文件夹权限问题,执行指令“chmod 755 waf -R”就ok了。

    再运行,发现提示302。不对啊,正常应该提示403forbidden的,看了下错误日志,提示:init_by_lua_file error: /usr/local/openresty/nginx/conf/waf/init.lua:48: attempt to concatenate global 'rulepath' (a nil value)。再跟踪了一下,发现init.lua最上方是require 'config',而我自己的配置文件也是config.lua。也就是说搜索lua文件路径的时候,搜到了我那个,然后发现里面并没有Rulepath这个变量,以致出错。最后将.../waf/init.lua中的require 'config'改成require 'waf_config',把.../waf/config.lua更改为.../waf/waf_config.lua,就ok了。

© 著作权归作者所有

共有 人打赏支持
七木网络科技
粉丝 292
博文 320
码字总数 123681
作品 0
深圳
程序员
私信 提问
打破基于OpenResty的WEB安全防护(CVE-2018-9230)

原文首发于安全客,原文链接:https://www.anquanke.com/post/id/103771 0x00 前言 OpenResty® 是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及...

bypass
06/04
0
0
Nginx Lua WAF通用绕过方法

  1.前言   2018年4月3日@ bre4k在群里发了一个trick。      Nginx Lua获取参数时,默认获取前100个参数值,其余的将被丢弃。      所以,用了Nginx Lua的WAF默认都会被Bypass。...

FreeBuf
05/15
0
0
nginx_lua_waf 部署、测试记录

ngxluawaf ngxluawaf是一个基于lua-nginx-module(openresty)的web应用防火墙 源码:https://github.com/loveshell/ngxluawaf 安装部署 系统版本:Centos6.5 x86_64 1、openresty的配置 yum ......

bypass
2017/07/07
0
0
什么是WAF(lua+nginx)

一、了解WAF 1.1 什么是WAF Web应用防护系统(也称:网站应用级***防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针...

菜鸟东哥
07/02
0
0
使用nginx+lua实现WAF功能

一、了解WAF 1.1 什么是WAF Web应用防护系统(也称:网站应用级***防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针...

kuSorZ
06/20
0
0

没有更多内容

加载失败,请刷新页面

加载更多

中国龙-扬科
25分钟前
2
0
使用vuex的state状态对象的5种方式

vuex是一个专门为vue.js设计的状态管理模式,并且也可以使用devtools进行调试。 下面给大家来贴一下我的vuex的结构 下面是store文件夹下的state.js和index.js内容 //state.jsconst state =...

peakedness丶
29分钟前
2
0
NetCore MVC Demo

地址:http://114.116.9.72:5411

whltian
36分钟前
1
0
Netty handle方法周期 (四)

写了一个练习之后,发现自定义的助手类每次肯定是必须的,对于不同的业务逻辑需求,会写相对应的逻辑 最简单的查看Handle生命周期的方式,就是重写上级方法,看名字差不多应该可以知道方法的作用 ...

_大侠__
41分钟前
9
0
vue主动刷新页面及列表数据删除后的刷新实例

1.场景 在处理列表时,常常有删除一条数据或者新增数据之后需要重新刷新当前页面的需求。 2.遇到的问题 1. 用vue-router重新路由到当前页面,页面是不进行刷新的 2.采用window.reload(),或者...

前端小攻略
52分钟前
14
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部