您当前的位置:首页 > 电脑百科 > 程序开发 > 语言 > JAVA

JavaWaf框架

时间:2019-08-21 16:16:13  来源:  作者:

简述:

JAVAWaf采用Java预言编写,主要针对Web应用,以filter的形式存在,配置灵活,实际根据需求进行相关设置。

web.xml:

<filter>
 <filter-name>websecfilter</filter-name>
 <filter-class>com.hs.security.web.filter.WatchDog</filter-class>
 <init-param>
 <param-name>config</param-name>
 <param-value>/javawaf.xml</param-value>
 </init-param>
</filter>
<filter-mApping>
 <filter-name>websecfilter</filter-name>
 <url-pattern>/*</url-pattern>
</filter-mapping>

注:javawaf.xml和web.xml为平行目录

javawaf.xml:

  1. 1最简配置:
<? xml version="1.0" encoding="UTF-8" ?> <javawaf>
 <logger>
 作者:jkgh006
 日期:2016/08/22
 新增:添加三条输入拦截规则,分别为XSS,SQLinjection,SSRF,添加三条输出拦截规则,SQLinjection,malware,URLRedirection
 删除:
 更新:
 </logger>
 <encoding>UTF-8</encoding>
 <intercept>
 <input-intercept>true</input-intercept>
 <output-intercept>true</output-intercept>
 </intercept>
</javawaf>

注:其中logger不需要关心,这个是编写插件的更新日志,供调试用,intercept标签是一个拦截开关,例如,input-intercept为true那么就会进行输入拦截,对所有的post,get参数进行拦截。output-intercept为true,那么就会对输出进行拦截,这里主要拦截的就是响应页面的内容,两个都为false的话,就是都不拦截

  1. 2特权配置(黑白名单)
<privilege>
 <input>
 <include></include>
 <exclude></exclude>
 </input>
 <output>
 <include></include>
 <exclude></exclude>
 </output>
</privilege>

注:这里也是采用输入输出配置,默认情况下拦截检测所有请求,include和exclude标签的默认属性就是path,表示以path的形式进行判断是否要走拦截逻辑,这里还有其他属性

url , path , query , domain , retcode

举例:

<include type="domain"></include>

特权配置的原则:

a. 白名单优先

举例说明:

<input>
 <include>/hello</include> //需要走拦截逻辑的
 <exclude></exclude> //不需要走拦截逻辑的
</input>

如果配置了include 那么配置exclude 是自动失效,配置这条规则的意思就是说以uri的形式对象为/hellok开头的就进入输入拦截逻辑

b. 输入配置全局生效,输出配置局部生效

举例说明:

<input>
 <include>/hello</include> //需要走拦截逻辑的
 <exclude></exclude> //不需要走拦截逻辑的
</input>
<output>
 <include></include>
 <exclude type="retcode">302</exclude>
</output>

这样配置的意思就是,以uri的形式对象为/hellok开头的就进入输入拦截逻辑,并且在返回的时候,响应码为非302的请求进响应拦截

上面的也可以简化为:

<input>
 <include>/hello</include> //需要走拦截逻辑的
</input>
<output>
 <exclude type="retcode">302</exclude>
</output>
  1. 3关键字配置
<keywords>
 <input-words>information_schema|extractvalue</input-words>
 <output-words></output-words>
</keywords>

也分为输入输出拦截,输入拦截的是参数,输出拦截的是响应内容,优先级比较高

  1. 4全局拦截回调
<callback>
 <input-class> com.callback.test.GloubeCallBackTest </input-class>
 <output-class>com.callback.test.GloubeCallBackTest</output-class>
</callback>

分为输入拦截后回调,和输出拦截后回调,这里主要是针对用户自定义设置而来的

  1. 5规则详细配置
<policys>
 <input>
 </input>
 <output>
 </output>
</policys>

这里面分别为对输入的拦截配置和对输出的拦截配置,举例子如下:

Input标签内:

Java软Waf框架

 

 

注:id为要调用规则的编号,这个是必须项,name为自定义的规则名称,会覆盖系统默认名称

include%20和%20exclude%20分别为只针对这条策略的黑白名单;callback也是只针对这条策略的用户自定义hook类,这里主要说一下custom-rules:

用户自定义规则:

replace优先级别最高,如果设置了,就会完全取代系统的所有规则,append规则级别相对比较低,配置了之后默认加到要检查的规则后面

output标签内:

配置与input一样

私信回复学习免费领取最新学习资料



Tags:Java Waf框架   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
简述:JavaWaf采用Java预言编写,主要针对Web应用,以filter的形式存在,配置灵活,实际根据需求进行相关设置。web.xml:<filter> <filter-name>websecfilter</filter-name> <filter-c...【详细内容】
2019-08-21  Tags: Java Waf框架  点击:(275)  评论:(0)  加入收藏
▌简易百科推荐
面向对象的特征之一封装 面向对象的特征之二继承 方法重写(override/overWrite) 方法的重载(overload)和重写(override)的区别: 面向对象特征之三:多态 Instanceof关键字...【详细内容】
2021-12-28  顶顶架构师    Tags:面向对象   点击:(2)  评论:(0)  加入收藏
一、Redis使用过程中一些小的注意点1、不要把Redis当成数据库来使用二、Arrays.asList常见失误需求:把数组转成list集合去处理。方法:Arrays.asList 或者 Java8的stream流式处...【详细内容】
2021-12-27  CF07    Tags:Java   点击:(3)  评论:(0)  加入收藏
文章目录 如何理解面向对象编程? JDK 和 JRE 有什么区别? 如何理解Java中封装,继承、多态特性? 如何理解Java中的字节码对象? 你是如何理解Java中的泛型的? 说说泛型应用...【详细内容】
2021-12-24  Java架构师之路    Tags:JAVA   点击:(5)  评论:(0)  加入收藏
大家好!我是老码农,一个喜欢技术、爱分享的同学,从今天开始和大家持续分享JVM调优方面的经验。JVM调优是个大话题,涉及的知识点很庞大 Java内存模型 垃圾回收机制 各种工具使用 ...【详细内容】
2021-12-23  小码匠和老码农    Tags:JVM调优   点击:(12)  评论:(0)  加入收藏
前言JDBC访问Postgresql的jsonb类型字段当然可以使用Postgresql jdbc驱动中提供的PGobject,但是这样在需要兼容多种数据库的系统开发中显得不那么通用,需要特殊处理。本文介绍...【详细内容】
2021-12-23  dingle    Tags:JDBC   点击:(13)  评论:(0)  加入收藏
Java与Lua相互调用案例比较少,因此项目使用需要做详细的性能测试,本内容只做粗略测试。目前已完成初版Lua-Java调用框架开发,后期有时间准备把框架进行抽象,并开源出来,感兴趣的...【详细内容】
2021-12-23  JAVA小白    Tags:Java   点击:(11)  评论:(0)  加入收藏
Java从版本5开始,在 java.util.concurrent.locks包内给我们提供了除了synchronized关键字以外的几个新的锁功能的实现,ReentrantLock就是其中的一个。但是这并不意味着我们可...【详细内容】
2021-12-17  小西学JAVA    Tags:JAVA并发   点击:(11)  评论:(0)  加入收藏
一、概述final是Java关键字中最常见之一,表示“最终的,不可更改”之意,在Java中也正是这个意思。有final修饰的内容,就会变得与众不同,它们会变成终极存在,其内容成为固定的存在。...【详细内容】
2021-12-15  唯一浩哥    Tags:Java基础   点击:(17)  评论:(0)  加入收藏
1、问题描述关于java中的日志管理logback,去年写过关于logback介绍的文章,这次项目中又优化了下,记录下,希望能帮到需要的朋友。2、解决方案这次其实是碰到了一个问题,一般的情况...【详细内容】
2021-12-15  软件老王    Tags:logback   点击:(19)  评论:(0)  加入收藏
本篇文章我们以AtomicInteger为例子,主要讲解下CAS(Compare And Swap)功能是如何在AtomicInteger中使用的,以及提供CAS功能的Unsafe对象。我们先从一个例子开始吧。假设现在我们...【详细内容】
2021-12-14  小西学JAVA    Tags:JAVA   点击:(22)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条