开源WAF集锦收集
https://blog.51cto.com/14678079/2474927
1.免费版本sharewaf
http://www.sharewaf.com/
2.hihttps
hihttps是一款少有完整源码的高性能WEB应用 + MQTT物联网防火墙,兼容ModSecurity规则并开源。特点是使用超级简单,就一个约10M的可执行文件,但防护功能一应俱全,包括:漏洞扫描、CC &DDOS、密码破解、SQL注入、XSS***等。
更重要的是hihttps基于机器学习的商业版本,也是免费的,由机器自动采集样本无监督学习,自动生成对抗规则。众所周知,阿里云/腾讯云等WAF非常贵,很多中小企业买不起,可以下载一个免费的hihttps试试。
项目地址:https://github.com/qq4108863/ 官网:http://www.hihttps.com
3.ModSecurity
https://www.modsecurity.org/
ModSecurity已经有10多年的历史,最开始是一个Apache的安全模块,后来发展成为开源的、跨平台的WEB应用防火墙。它可以通过检查WEB服务接收到的数据,以及发送出去的数据来对网站进行安全防护。
最厉害的是著名安全社区OWASP,开发和维护着一套免费的应用程序保护规则,这就是所谓OWASP的ModSecurity的核心规则集(即CRS),几乎覆盖了如SQL注入、XSS跨站***脚本、DOS等几十种常见WEB***方法。
项目地址:https://github.com/SpiderLabs/ModSecurity
4.Naxsi
https://github.com/nbs-system/naxsi
Naxsi 是一款基于Nginx模块的防火墙,有自己规则定义,崇尚低规则。项目由C语言编写,需要熟练掌握Nginx源码的才能看懂。
项目地址:https://github.com/nbs-system/naxsi
5.OpenWAF
https://github.com/titansec/OpenWAF
OpenWAF是基于Nginx_lua API分析HTTP请求信息,由行为分析引擎和规则引擎两大功能引擎构成,其中规则引擎主要对单个请求进行分析,行为分析引擎主要负责跨请求信息追踪。
规则引擎的启发来自modsecurity及freewaf(lua-resty-waf),将ModSecurity的规则机制用lua实现。
基于规则引擎可以进行协议规范,自动工具,SQL注入,跨站***,信息泄露,异常请求等安全防护,支持动态添加规则,及时修补漏洞。缺点是复杂,不适合不熟悉Nginx和lua语言的开发者。
项目地址:https://github.com/titansec/OpenWAF
6.FreeWAF
此WAF已经挂了,不再更新,有一个很久不更新的github链接
FeeWAF是一款开源的WEB应用防火墙产品,其命名为FreeWAF,它工作在应用层,对HTTP进行双向深层次检测:对 Internet进行实时防护,避免***利用应用层漏洞非法获取或破坏网站数据,可以有效地抵御***的各种***,如SQL注入、XSS、CSRF***、缓冲区 溢出、应用层DOS/DDOS***等;同时,对WEB服务器侧响应的出错信息、恶意内容及不合规格内容进行实时过滤,避免敏感信息泄露,确保网站信息的可靠性。但项目已经很久没更新了。
7.ESAPI WAF
此WAF挂了,找不到下载链接
这是OWASP ESAPI 项目提供的一个开源WAF,基于J2EE实现,其主要利用XML的配置方式驱动防火墙。安装时,在WEB.xml中将ESAPIWEBApplicationFirewallFilter配置为filter,在应用程序之前和之后处理输入和输入。
8.unixhot
https://github.com/unixhot/waf
unixhot是使用Nginx+Lua实现自定义WAF,一句话描述,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来,非常简单。
项目地址:https://github.com/unixhot/waf
9.Java WAF
https://github.com/chengdedeng/waf
用Java开发的WAF很少,我们发现一个使用Java开发的API Gateway,由于WAF构建在开源代理LittleProxy之上,所以说WAF底层使用的是Netty。功能上支持安全拦截、各种分析检测、脚本(沙箱)、流控/CC防护等。不会C语言,是Java爱好者的福音。
项目地址:https://github.com/chengdedeng/waf
10.X-WAF
X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。核心基于openresty + lua开发,waf管理后台:采用golang + xorm + macrom开发的,支持二进制的形式部署。
项目地址:https://github.com/xsec-lab/x-waf
11.VeryNginx
https://github.com/alexazhou/VeryNginx/
VeryNginx 也是基于 lua_Nginx_module(openrestry) 开发,实现了高级的防火墙、访问统计和其他的一些功能。 集成在 Nginx 中运行,扩展了 Nginx 本身的功能,并提供了友好的 WEB 交互界面。
项目地址:https://github.com/alexazhou/VeryNginx/
12.JXWAF
https://github.com/jx-sec/jxwaf
JXWAF 是一款开源的 Web 应用防火墙,可用于防护 SQL 注入漏洞,XSS 漏洞,命令执行漏洞等 OWASP 常见攻击,CC 攻击等,避免网站数据泄露,保障网站可用性和安全性 https://www.jxwaf.com/
13.ngx_lua_waf
https://github.com/loveshell/ngx_lua_waf
ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙
14.luawaf
https://github.com/wubonetcn/luawaf
一个安全、可私有部署的Web应用防火墙(WAF)
15.maiev-waf
https://github.com/ZhongAnTech/maiev-waf
众安开源waf引擎
16.maiev-waf-web
https://github.com/ZhongAnTech/maiev-waf-web
众安开源WAF后台
17.go-waf
https://github.com/kumustone/waf
基于go开发的waf,包括网关和WAF两部分;
相关技术文章
https://blog.csdn.net/younger_z/article/details/81217795
https://mp.weixin.qq.com/s/OWTpiZb_7O4g4UV1EHrzsw
https://blog.csdn.net/English0523/article/details/78899312
https://www.freebuf.com/articles/es/208108.html
https://www.freebuf.com/articles/web/224472.html
https://github.com/ds19991999/SecBox
https://github.com/fnmsd/ChunkedHTTPAdapter
http://tanjiti.lofter.com/view
https://waf.io/
https://github.com/Prodject/BurpSuite-collections
https://github.com/Atomicorp/nginx-waf-docker
https://github.com/TideSecTeam
https://github.com/cn27001/lua-resty-waf
https://github.com/odin1314/skills
WAF测试工具
https://github.com/Hongxs/WAF-Tester
https://github.com/tanjiti/WAFTest
WAF集锦
https://github.com/0xInfection/Awesome-WAF