文档章节

Openresty添加了waf后却没生效

七木网络科技
 七木网络科技
发布于 2016/04/12 21:48
字数 345
阅读 298
收藏 1

    今天和前端讨论了一下,考虑到前端没有啥安全性,无论我怎么加密,除了用https的正规CA证书,真的没卵用。所以就决定弄弄csrf以及waf。csrf暂时会然调试变得困难,所以就弄waf。

    waf这个开源库弄得最好的就是loveshell的,网址是:https://github.com/loveshell/ngx_lua_waf,下下来按照文档放到服务器中,并按实际情况修改了waf的config.lua文件中的路径。

    一运行,发现提示404。看了下错误日志,表示找不到waf.lua这个文件,检查了一下,路径啥的决定没问题,但是为什么还没找到呢?还好以前被坑过,是因为文件夹权限问题,执行指令“chmod 755 waf -R”就ok了。

    再运行,发现提示302。不对啊,正常应该提示403forbidden的,看了下错误日志,提示:init_by_lua_file error: /usr/local/openresty/nginx/conf/waf/init.lua:48: attempt to concatenate global 'rulepath' (a nil value)。再跟踪了一下,发现init.lua最上方是require 'config',而我自己的配置文件也是config.lua。也就是说搜索lua文件路径的时候,搜到了我那个,然后发现里面并没有Rulepath这个变量,以致出错。最后将.../waf/init.lua中的require 'config'改成require 'waf_config',把.../waf/config.lua更改为.../waf/waf_config.lua,就ok了。

© 著作权归作者所有

共有 人打赏支持
七木网络科技
粉丝 291
博文 315
码字总数 123208
作品 0
深圳
程序员
打破基于OpenResty的WEB安全防护(CVE-2018-9230)

原文首发于安全客,原文链接:https://www.anquanke.com/post/id/103771 0x00 前言 OpenResty® 是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及...

bypass
06/04
0
0
Nginx Lua WAF通用绕过方法

  1.前言   2018年4月3日@ bre4k在群里发了一个trick。      Nginx Lua获取参数时,默认获取前100个参数值,其余的将被丢弃。      所以,用了Nginx Lua的WAF默认都会被Bypass。...

FreeBuf
05/15
0
0
nginx_lua_waf 部署、测试记录

ngxluawaf ngxluawaf是一个基于lua-nginx-module(openresty)的web应用防火墙 源码:https://github.com/loveshell/ngxluawaf 安装部署 系统版本:Centos6.5 x86_64 1、openresty的配置 yum ......

bypass
2017/07/07
0
0
Openresty中使用LuaJit

今天在使用Openresty的时候,遇到了一个问题: local resty_sha1 = require "resty.sha1" 想使用resy.sha1的时候,出现了error,log如下: 2013/09/25 09:00:40 [error] 19620#0: *3 lua en...

timingbob
2013/09/25
0
0
什么是WAF(lua+nginx)

一、了解WAF 1.1 什么是WAF Web应用防护系统(也称:网站应用级***防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针...

菜鸟东哥
07/02
0
0

没有更多内容

加载失败,请刷新页面

加载更多

sourcetree 离线免注册登录安装教程

Sourcetree是一个优秀的git可视化管理工具,深受开发者喜爱Sourcetree官网,但是在安装时需要谷歌账户登录,需要翻qiang才可以,此一点一直被人们所诟病。今天本教程就为大家提供离线免登陆安...

QQZZFT
12分钟前
0
0
使用 PostgreSQL 解决一个实际的统计分析问题

使用 PostgreSQL 解决一个实际的统计分析问题作者:老农民(刘启华)Email: 46715422@qq.com 之前有个朋友扔给我一个奇葩需求,他们公司之前做了一批问卷调查,全部都是统一格式的excel...

新疆老农民
15分钟前
0
0
TypeScript基础入门之高级类型的映射类型

转发 TypeScript基础入门之高级类型的映射类型 高级类型 映射类型 一个常见的任务是将一个已知的类型每个属性都变为可选的: interface PersonPartial {    name?: string;    age?...

durban
30分钟前
0
0
Dubbo源码分析(6):Dubbo内核实现之基于SPI思想Dubbo内核实现

SPI接口定义 定义了@SPI注解 package com.alibaba.dubbo.common.extension; import java.lang.annotation.Documented;import java.lang.annotation.ElementType;import java.lang.an......

郑加威
31分钟前
0
0
RxJS的另外四种实现方式(后记)—— 同时实现管道和链式编程

目录 RxJS的另外四种实现方式(序) RxJS的另外四种实现方式(一)——代码最小的库 RxJS的另外四种实现方式(二)——代码最小的库(续) RxJS的另外四种实现方式(三)——性能最高的库 Rx...

一个灰
34分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部