php-waf合集资源-CSDN文库

共4个文件

php：4个

需积分: 48 82 浏览量 2018-12-24 14:11:47 上传评论 1 收藏 5KB ZIP 举报

**PHP WAF 合集详解** PHP Web Application Firewall（WAF）是一种网络安全工具，用于保护基于PHP构建的网站免受各种攻击。它通过过滤输入数据、检查HTTP请求和响应来防止恶意活动，如SQL注入、跨站脚本（XSS）、文件包含漏洞等。这个压缩包中的"php-waf"集合提供了这样的功能，帮助网站管理员增强站点的安全性。 **WAF的工作原理** 1. **数据过滤**：WAF会检查用户提交的数据，如表单输入、URL参数等，以确保它们不包含任何可能的攻击字符串。例如，它可以阻止SQL注入尝试，通过检测并移除SQL语法片段。 2. **HTTP请求检查**：WAF会分析HTTP头信息，如User-Agent、Referer等，以识别异常行为。它可能禁止特定的浏览器或代理服务器，这些可能被恶意用户利用。 3. **行为分析**：WAF可以学习和理解正常用户的浏览模式，当发现异常请求速率或非典型操作时，它可能会触发警报或阻断请求。 4. **规则引擎**：PHP WAF通常使用一套预定义的规则集，这些规则可以匹配并拦截特定的攻击模式。这些规则可以是开源社区提供的，也可以根据网站的具体需求定制。 5. **文件包含防御**：WAF能够防止恶意用户尝试通过文件包含漏洞来执行不受信任的代码。它会检查并阻止尝试包含动态生成的或不可信的文件路径。 **PHP WAF的特性** 1. **灵活性**：PHP WAF可以集成到现有的Web服务器配置中，如Apache或Nginx，无需修改应用代码。 2. **可扩展性**：由于它是基于PHP的，因此可以方便地添加自定义函数和模块，以适应特定的防护需求。 3. **日志和报告**：WAF记录所有拦截的活动，提供详细的日志和报告，帮助管理员了解网站面临的威胁。 4. **实时更新**：通过定期更新规则库，PHP WAF可以及时应对新的安全威胁。 5. **性能影响**：虽然WAF会增加一些处理负载，但现代设计通常优化了性能，以确保对网站速度的影响最小。 **安装与配置** 1. **下载与解压**：你需要下载这个"php-waf"压缩包，然后将其解压到服务器上适当的位置。 2. **配置文件**：配置WAF以适应你的环境，包括设置规则集、定义白名单和黑名单，以及调整日志级别。 3. **整合到Web服务器**：将WAF作为中间件插入到Web服务器配置中，确保所有HTTP请求先经过WAF处理。 4. **测试**：在部署前进行详尽的测试，确保WAF不会误阻断合法流量，并且能有效拦截恶意请求。 5. **监控与维护**：定期检查WAF的日志，了解其运行情况，根据需要调整规则。 PHP WAF是保护网站免受网络攻击的重要工具，尤其对于那些依赖PHP技术构建的网站。通过正确配置和持续维护，它可以显著提高网站的安全性。

资源推荐

资源详情

资源评论

收起资源包目录

waf.zip （4个子文件）

waf

waf.php 2KB

waf2.php 4KB

php_waf_and_log_to_txt.php 2KB

waf1.php 1KB

<?php //error_reporting(E_ALL); //ini_set('display_errors', 1); /* ** 线下攻防php版本waf ** ** Author: 落 */ /* 检测请求方式，除了get和post之外拦截下来并写日志。 */ if($_SERVER['REQUEST_METHOD'] != 'POST' && $_SERVER['REQUEST_METHOD'] != 'GET'){ write_attack_log("method"); } $url = $_SERVER['REQUEST_URI']; //获取uri来进行检测 $data = file_get_contents('php://input'); //获取post的data，无论是否是mutipart $headers = get_all_headers(); //获取header filter_attack_keyword(filter_invisible(urldecode(filter_0x25($url)))); //对URL进行检测，出现问题则拦截并记录 filter_attack_keyword(filter_invisible(urldecode(filter_0x25($data)))); //对POST的内容进行检测，出现问题拦截并记录 /* 检测过了则对输入进行简单过滤 */ foreach ($_GET as $key => $value) { $_GET[$key] = filter_dangerous_words($value); } foreach ($_POST as $key => $value) { $_POST[$key] = filter_dangerous_words($value); } foreach ($headers as $key => $value) { filter_attack_keyword(filter_invisible(urldecode(filter_0x25($value)))); //对http请求头进行检测，出现问题拦截并记录 $_SERVER[$key] = filter_dangerous_words($value); //简单过滤 } /* 获取http请求头并写入数组 */ function get_all_headers() { $headers = array(); foreach($_SERVER as $key => $value) { if(substr($key, 0, 5) === 'HTTP_') { $headers[$key] = $value; } } return $headers; } /* 检测不可见字符造成的截断和绕过效果，注意网站请求带中文需要简单修改 */ function filter_invisible($str){ for($i=0;$i<strlen($str);$i++){ $ascii = ord($str[$i]); if($ascii>126 || $ascii < 32){ //有中文这里要修改 if(!in_array($ascii, array(9,10,13))){ write_attack_log("interrupt"); }else{ $str = str_replace($ascii, " ", $str); } } } $str = str_replace(array("`","|",";",","), " ", $str); return $str; } /* 检测网站程序存在二次编码绕过漏洞造成的%25绕过，此处是循环将%25替换成%，直至不存在%25 */ function filter_0x25($str){ if(strpos($str,"%25") !== false){ $str = str_replace("%25", "%", $str); return filter_0x25($str); }else{ return $str; } } /* 攻击关键字检测，此处由于之前将特殊字符替换成空格，即使存在绕过特性也绕不过正则的\b */ function filter_attack_keyword($str){ if(preg_match("/select\b|insert\b|update\b|drop\b|delete\b|dumpfile\b|outfile\b|load_file|rename\b|floor\(|extractvalue|updatexml|name_const|multipoint\(/i", $str)){ write_attack_log("sqli"); } //此处文件包含的检测我真的不会写了，求高人指点。。。 if(substr_count($str,$_SERVER['PHP_SELF']) < 2){ $tmp = str_replace($_SERVER['PHP_SELF'], "", $str); if(preg_match("/\.\.|.*\.php[35]{0,1}/i", $tmp)){ write_attack_log("LFI/LFR");; } }else{ write_attack_log("LFI/LFR"); } if(preg_match("/base64_decode|eval\(|assert\(/i", $str)){ write_attack_log("EXEC"); } if(preg_match("/flag/i", $str)){ write_attack_log("GETFLAG"); } } /* 简单将易出现问题的字符替换成中文 */ function filter_dangerous_words($str){ $str = str_replace("'", "‘", $str); $str = str_replace("\"", "“", $str); $str = str_replace("<", "《", $str); $str = str_replace(">", "》", $str); return $str; } /* 获取http的请求包，意义在于获取别人的攻击payload */ function get_http_raw() { $raw = ''; $raw .= $_SERVER['REQUEST_METHOD'].' '.$_SERVER['REQUEST_URI'].' '.$_SERVER['SERVER_PROTOCOL']."\r\n"; foreach($_SERVER as $key => $value) { if(substr($key, 0, 5) === 'HTTP_') { $key = substr($key, 5); $key = str_replace('_', '-', $key); $raw .= $key.': '.$value."\r\n"; } } $raw .= "\r\n"; $raw .= file_get_contents('php://input'); return $raw; } /* 这里拦截并记录攻击payload */ function write_attack_log($alert){ $data = date("Y/m/d H:i:s")." -- [".$alert."]"."\r\n".get_http_raw()."\r\n\r\n"; $ffff = fopen('log_is_a_secret_file.txt', 'a'); //日志路径 fwrite($ffff, $data); fclose($ffff); if($alert == 'GETFLAG'){ echo "HCTF{aaaa}"; //如果请求带有flag关键字，显示假的flag。（2333333） }else{ sleep(15); //拦截前延时15秒 } exit(0); } ?>

评论收藏

内容反馈