JavaWaf框架

简述：

JAVAWaf采用Java预言编写，主要针对Web应用，以filter的形式存在，配置灵活，实际根据需求进行相关设置。

web.xml:

<filter>
 <filter-name>websecfilter</filter-name>
 <filter-class>com.hs.security.web.filter.WatchDog</filter-class>
 <init-param>
 <param-name>config</param-name>
 <param-value>/javawaf.xml</param-value>
 </init-param>
</filter>
<filter-mApping>
 <filter-name>websecfilter</filter-name>
 <url-pattern>/*</url-pattern>
</filter-mapping>

注：javawaf.xml和web.xml为平行目录

javawaf.xml：

1. 1最简配置：

<? xml version="1.0" encoding="UTF-8" ?> <javawaf>
 <logger>
 作者:jkgh006
 日期:2016/08/22
 新增:添加三条输入拦截规则，分别为XSS，SQLinjection,SSRF,添加三条输出拦截规则，SQLinjection,malware,URLRedirection
 删除:
 更新:
 </logger>
 <encoding>UTF-8</encoding>
 <intercept>
 <input-intercept>true</input-intercept>
 <output-intercept>true</output-intercept>
 </intercept>
</javawaf>

注：其中logger不需要关心，这个是编写插件的更新日志，供调试用，intercept标签是一个拦截开关，例如，input-intercept为true那么就会进行输入拦截，对所有的post，get参数进行拦截。output-intercept为true,那么就会对输出进行拦截，这里主要拦截的就是响应页面的内容，两个都为false的话，就是都不拦截

1. 2特权配置（黑白名单）

<privilege>
 <input>
 <include></include>
 <exclude></exclude>
 </input>
 <output>
 <include></include>
 <exclude></exclude>
 </output>
</privilege>

注：这里也是采用输入输出配置，默认情况下拦截检测所有请求，include和exclude标签的默认属性就是path,表示以path的形式进行判断是否要走拦截逻辑，这里还有其他属性

url , path , query , domain , retcode

举例:

<include type="domain"></include>

特权配置的原则：

a. 白名单优先

举例说明：

<input>
 <include>/hello</include> //需要走拦截逻辑的
 <exclude></exclude> //不需要走拦截逻辑的
</input>

如果配置了include 那么配置exclude 是自动失效,配置这条规则的意思就是说以uri的形式对象为/hellok开头的就进入输入拦截逻辑

b. 输入配置全局生效，输出配置局部生效

举例说明：

<input>
 <include>/hello</include> //需要走拦截逻辑的
 <exclude></exclude> //不需要走拦截逻辑的
</input>
<output>
 <include></include>
 <exclude type="retcode">302</exclude>
</output>

这样配置的意思就是，以uri的形式对象为/hellok开头的就进入输入拦截逻辑，并且在返回的时候,响应码为非302的请求进响应拦截

上面的也可以简化为:

<input>
 <include>/hello</include> //需要走拦截逻辑的
</input>
<output>
 <exclude type="retcode">302</exclude>
</output>

1. 3关键字配置

<keywords>
 <input-words>information_schema|extractvalue</input-words>
 <output-words></output-words>
</keywords>

也分为输入输出拦截，输入拦截的是参数，输出拦截的是响应内容，优先级比较高

1. 4全局拦截回调

<callback>
 <input-class> com.callback.test.GloubeCallBackTest </input-class>
 <output-class>com.callback.test.GloubeCallBackTest</output-class>
</callback>

分为输入拦截后回调，和输出拦截后回调，这里主要是针对用户自定义设置而来的

1. 5规则详细配置

<policys>
 <input>
 </input>
 <output>
 </output>
</policys>

这里面分别为对输入的拦截配置和对输出的拦截配置，举例子如下：

Input标签内：

注：id为要调用规则的编号，这个是必须项，name为自定义的规则名称，会覆盖系统默认名称

include%20和%20exclude%20分别为只针对这条策略的黑白名单；callback也是只针对这条策略的用户自定义hook类，这里主要说一下custom-rules:

用户自定义规则：

replace优先级别最高，如果设置了，就会完全取代系统的所有规则，append规则级别相对比较低,配置了之后默认加到要检查的规则后面

output标签内:

配置与input一样

私信回复学习免费领取最新学习资料