開源WAF集錦收集
https://blog.51cto.com/14678079/2474927
1.免費版本sharewaf
http://www.sharewaf.com/
2.hihttps
hihttps是一款少有完整源碼的高性能WEB應用 + MQTT物聯網防火牆,兼容ModSecurity規則並開源。特點是使用超級簡單,就一個約10M的可執行文件,但防護功能一應俱全,包括:漏洞掃描、CC &DDOS、密碼破解、SQL注入、XSS***等。
更重要的是hihttps基於機器學習的商業版本,也是免費的,由機器自動采集樣本無監督學習,自動生成對抗規則。眾所周知,阿里雲/騰訊雲等WAF非常貴,很多中小企業買不起,可以下載一個免費的hihttps試試。
項目地址:https://github.com/qq4108863/ 官網:http://www.hihttps.com
3.ModSecurity
https://www.modsecurity.org/
ModSecurity已經有10多年的歷史,最開始是一個Apache的安全模塊,后來發展成為開源的、跨平台的WEB應用防火牆。它可以通過檢查WEB服務接收到的數據,以及發送出去的數據來對網站進行安全防護。
最厲害的是著名安全社區OWASP,開發和維護着一套免費的應用程序保護規則,這就是所謂OWASP的ModSecurity的核心規則集(即CRS),幾乎覆蓋了如SQL注入、XSS跨站***腳本、DOS等幾十種常見WEB***方法。
項目地址:https://github.com/SpiderLabs/ModSecurity
4.Naxsi
https://github.com/nbs-system/naxsi
Naxsi 是一款基於Nginx模塊的防火牆,有自己規則定義,崇尚低規則。項目由C語言編寫,需要熟練掌握Nginx源碼的才能看懂。
項目地址:https://github.com/nbs-system/naxsi
5.OpenWAF
https://github.com/titansec/OpenWAF
OpenWAF是基於Nginx_lua API分析HTTP請求信息,由行為分析引擎和規則引擎兩大功能引擎構成,其中規則引擎主要對單個請求進行分析,行為分析引擎主要負責跨請求信息追蹤。
規則引擎的啟發來自modsecurity及freewaf(lua-resty-waf),將ModSecurity的規則機制用lua實現。
基於規則引擎可以進行協議規范,自動工具,SQL注入,跨站***,信息泄露,異常請求等安全防護,支持動態添加規則,及時修補漏洞。缺點是復雜,不適合不熟悉Nginx和lua語言的開發者。
項目地址:https://github.com/titansec/OpenWAF
6.FreeWAF
此WAF已經掛了,不再更新,有一個很久不更新的github鏈接
FeeWAF是一款開源的WEB應用防火牆產品,其命名為FreeWAF,它工作在應用層,對HTTP進行雙向深層次檢測:對 Internet進行實時防護,避免***利用應用層漏洞非法獲取或破壞網站數據,可以有效地抵御***的各種***,如SQL注入、XSS、CSRF***、緩沖區 溢出、應用層DOS/DDOS***等;同時,對WEB服務器側響應的出錯信息、惡意內容及不合規格內容進行實時過濾,避免敏感信息泄露,確保網站信息的可靠性。但項目已經很久沒更新了。
7.ESAPI WAF
此WAF掛了,找不到下載鏈接
這是OWASP ESAPI 項目提供的一個開源WAF,基於J2EE實現,其主要利用XML的配置方式驅動防火牆。安裝時,在WEB.xml中將ESAPIWEBApplicationFirewallFilter配置為filter,在應用程序之前和之后處理輸入和輸入。
8.unixhot
https://github.com/unixhot/waf
unixhot是使用Nginx+Lua實現自定義WAF,一句話描述,就是解析HTTP請求(協議解析模塊),規則檢測(規則模塊),做不同的防御動作(動作模塊),並將防御過程(日志模塊)記錄下來,非常簡單。
項目地址:https://github.com/unixhot/waf
9.Java WAF
https://github.com/chengdedeng/waf
用Java開發的WAF很少,我們發現一個使用Java開發的API Gateway,由於WAF構建在開源代理LittleProxy之上,所以說WAF底層使用的是Netty。功能上支持安全攔截、各種分析檢測、腳本(沙箱)、流控/CC防護等。不會C語言,是Java愛好者的福音。
項目地址:https://github.com/chengdedeng/waf
10.X-WAF
X-WAF是一款適用中、小企業的雲WAF系統,讓中、小企業也可以非常方便地擁有自己的免費雲WAF。核心基於openresty + lua開發,waf管理后台:采用golang + xorm + macrom開發的,支持二進制的形式部署。
項目地址:https://github.com/xsec-lab/x-waf
11.VeryNginx
https://github.com/alexazhou/VeryNginx/
VeryNginx 也是基於 lua_Nginx_module(openrestry) 開發,實現了高級的防火牆、訪問統計和其他的一些功能。 集成在 Nginx 中運行,擴展了 Nginx 本身的功能,並提供了友好的 WEB 交互界面。
項目地址:https://github.com/alexazhou/VeryNginx/
12.JXWAF
https://github.com/jx-sec/jxwaf
JXWAF 是一款開源的 Web 應用防火牆,可用於防護 SQL 注入漏洞,XSS 漏洞,命令執行漏洞等 OWASP 常見攻擊,CC 攻擊等,避免網站數據泄露,保障網站可用性和安全性 https://www.jxwaf.com/
13.ngx_lua_waf
https://github.com/loveshell/ngx_lua_waf
ngx_lua_waf是一個基於lua-nginx-module(openresty)的web應用防火牆
14.luawaf
https://github.com/wubonetcn/luawaf
一個安全、可私有部署的Web應用防火牆(WAF)
15.maiev-waf
https://github.com/ZhongAnTech/maiev-waf
眾安開源waf引擎
16.maiev-waf-web
https://github.com/ZhongAnTech/maiev-waf-web
眾安開源WAF后台
17.go-waf
https://github.com/kumustone/waf
基於go開發的waf,包括網關和WAF兩部分;
相關技術文章
https://blog.csdn.net/younger_z/article/details/81217795
https://mp.weixin.qq.com/s/OWTpiZb_7O4g4UV1EHrzsw
https://blog.csdn.net/English0523/article/details/78899312
https://www.freebuf.com/articles/es/208108.html
https://www.freebuf.com/articles/web/224472.html
https://github.com/ds19991999/SecBox
https://github.com/fnmsd/ChunkedHTTPAdapter
http://tanjiti.lofter.com/view
https://waf.io/
https://github.com/Prodject/BurpSuite-collections
https://github.com/Atomicorp/nginx-waf-docker
https://github.com/TideSecTeam
https://github.com/cn27001/lua-resty-waf
https://github.com/odin1314/skills
WAF測試工具
https://github.com/Hongxs/WAF-Tester
https://github.com/tanjiti/WAFTest
WAF集錦
https://github.com/0xInfection/Awesome-WAF