openresty搭建网站防火墙
【摘要】 实现一个简单的防火墙,例如:当我提交一个 select * from 疑似 sql注入的参数时,则会直接被拦截下载waf配置:wget https://github.com/loveshell/ngx_lua_waf/archive/v0.7.2.tar.gz复制解压文件并将./config.lua,./init.lua,./waf.lua,./wafconf/* 文件移动到...
实现一个简单的防火墙,例如:
当我提交一个 select * from 疑似 sql注入的参数时,则会直接被拦截
下载waf配置:
wget https://github.com/loveshell/ngx_lua_waf/archive/v0.7.2.tar.gz解压文件并将
./config.lua,
./init.lua,
./waf.lua,
./wafconf/*
文件移动到你的项目目录
例如在上篇文章中的openrestyTest/config 目录:
[root@tioncico-server openrestyTest]# tree
.
├── client_body_temp
├── conf
│ ├── nginx.conf
│ └── waf
│ ├── config.lua
│ ├── init.lua
│ ├── wafconf
│ │ ├── args
│ │ ├── cookie
│ │ ├── post
│ │ ├── url
│ │ ├── user-agent
│ │ └── whiteurl
│ └── waf.lua
├── index.php
├── logs
│ ├── access.log
│ ├── error.log
│ └── hack
│ └── xxx.easyswoole.cn_2020-11-23_sec.log新增./log/hack/目录,并且将 ./conf/waf/config.lua里面的RulePath,logdir路径修改为正确路径
在nginx.conf中的http块中新增代码:
lua_package_path "/usr/local/openresty/lualib/?.lua;/www/wwwroot/homeTest/openrestyTest/conf/waf/?.lua";
lua_shared_dict limit 10m;
access_by_lua_file /www/wwwroot/homeTest/openrestyTest/conf/waf/waf.lua;
init_by_lua_file /www/wwwroot/homeTest/openrestyTest/conf/waf/init.lua;注意:lua_package_path,必须引入openresty安装目录的lualib,然后增加一个分号,引入当前项目的waf/?.lua,否则将会报错:
nginx: [alert] failed to load the 'resty.core' module (https://github.com/openresty/lua-resty-core); ensure you are using an OpenResty release from https://openresty.org/en/download.html (reason: module 'resty.core' not found:
直接启动项目,在项目后面增加: ?id=select%20*%20from%20information_schema
即可触发waf防护
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)