简述:
JAVAWaf采用Java预言编写,主要针对Web应用,以filter的形式存在,配置灵活,实际根据需求进行相关设置。
web.xml:
<filter> <filter-name>websecfilter</filter-name> <filter-class>com.hs.security.web.filter.WatchDog</filter-class> <init-param> <param-name>config</param-name> <param-value>/javawaf.xml</param-value> </init-param> </filter> <filter-mApping> <filter-name>websecfilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
注:javawaf.xml和web.xml为平行目录
javawaf.xml:
<? xml version="1.0" encoding="UTF-8" ?> <javawaf> <logger> 作者:jkgh006 日期:2016/08/22 新增:添加三条输入拦截规则,分别为XSS,SQLinjection,SSRF,添加三条输出拦截规则,SQLinjection,malware,URLRedirection 删除: 更新: </logger> <encoding>UTF-8</encoding> <intercept> <input-intercept>true</input-intercept> <output-intercept>true</output-intercept> </intercept> </javawaf>
注:其中logger不需要关心,这个是编写插件的更新日志,供调试用,intercept标签是一个拦截开关,例如,input-intercept为true那么就会进行输入拦截,对所有的post,get参数进行拦截。output-intercept为true,那么就会对输出进行拦截,这里主要拦截的就是响应页面的内容,两个都为false的话,就是都不拦截
<privilege> <input> <include></include> <exclude></exclude> </input> <output> <include></include> <exclude></exclude> </output> </privilege>
注:这里也是采用输入输出配置,默认情况下拦截检测所有请求,include和exclude标签的默认属性就是path,表示以path的形式进行判断是否要走拦截逻辑,这里还有其他属性
url , path , query , domain , retcode
举例:
<include type="domain"></include>
特权配置的原则:
a. 白名单优先
举例说明:
<input> <include>/hello</include> //需要走拦截逻辑的 <exclude></exclude> //不需要走拦截逻辑的 </input>
如果配置了include 那么配置exclude 是自动失效,配置这条规则的意思就是说以uri的形式对象为/hellok开头的就进入输入拦截逻辑
b. 输入配置全局生效,输出配置局部生效
举例说明:
<input> <include>/hello</include> //需要走拦截逻辑的 <exclude></exclude> //不需要走拦截逻辑的 </input> <output> <include></include> <exclude type="retcode">302</exclude> </output>
这样配置的意思就是,以uri的形式对象为/hellok开头的就进入输入拦截逻辑,并且在返回的时候,响应码为非302的请求进响应拦截
上面的也可以简化为:
<input> <include>/hello</include> //需要走拦截逻辑的 </input> <output> <exclude type="retcode">302</exclude> </output>
<keywords> <input-words>information_schema|extractvalue</input-words> <output-words></output-words> </keywords>
也分为输入输出拦截,输入拦截的是参数,输出拦截的是响应内容,优先级比较高
<callback> <input-class> com.callback.test.GloubeCallBackTest </input-class> <output-class>com.callback.test.GloubeCallBackTest</output-class> </callback>
分为输入拦截后回调,和输出拦截后回调,这里主要是针对用户自定义设置而来的
<policys> <input> </input> <output> </output> </policys>
这里面分别为对输入的拦截配置和对输出的拦截配置,举例子如下:
Input标签内:
注:id为要调用规则的编号,这个是必须项,name为自定义的规则名称,会覆盖系统默认名称
include%20和%20exclude%20分别为只针对这条策略的黑白名单;callback也是只针对这条策略的用户自定义hook类,这里主要说一下custom-rules:
用户自定义规则:
replace优先级别最高,如果设置了,就会完全取代系统的所有规则,append规则级别相对比较低,配置了之后默认加到要检查的规则后面
output标签内:
配置与input一样
私信回复学习免费领取最新学习资料