OpenStarwaf+,lua,高性能web安全防護

OpenStar是一個基于OpenResty的，高性能web平臺，不僅僅包含了傳統(tǒng)WAF的功能模塊，還相應增加了其他靈活、友好、實用的功能，是增強的WAF、WEB擴展、CC防護的集合。

WAF防護

在OpenStar中的WAF防護模塊，采用傳統(tǒng)的黑白名單、正則過濾的方式（有人會問現(xiàn)在不是流行自主學習么；正則、黑白名單會有盲點、會被繞過......）。這里我簡單說明一下，自主分析學習引擎是我們的日志分析引擎做的，這里是高性能、高并發(fā)的點，就用簡單粗暴的方法解決，根據(jù)業(yè)務實際調整好防護策略，可以解決絕大多數(shù)WEB安全1.0和WEB安全2.0類型的漏洞（90%+的問題）。 WAF 防護從header,args,post,訪問頻率等層面分層進行防護，詳細在后面的功能會詳細說明

• WEB安全1.0 在1.0時代下，攻擊是通過服務器漏洞（IIS6溢出等）、WEB應用漏洞（SQL注入、文件上傳、命令執(zhí)行、文件包含等）屬于服務器類的攻擊，該類型漏洞雖然經(jīng)歷了這么多年，很遺憾，此類漏洞還是存在，并且重復在犯相同的錯誤。

• WEB安全2.0 隨著社交網(wǎng)絡的興起，原來不被重視的XSS、CSRF等漏洞逐漸進入人們的視野，那么在2.0時代，漏洞利用的思想將更重要，發(fā)揮你的想象，可以有太多可能。

• WEB安全3.0 同開發(fā)設計模式類似（界面、業(yè)務邏輯、數(shù)據(jù)），3.0將關注應用本身的業(yè)務邏輯和數(shù)據(jù)安全，如密碼修改繞過、二級密碼繞過、支付類漏洞、刷錢等類型的漏洞，故注重的是本身產(chǎn)品的業(yè)務安全、數(shù)據(jù)安全。

  安全不僅僅是在技術層面、還應該在行政管理層面、物理層面去做好安全的防護，才能提供最大限度的保護。 安全行業(yè)多年的從業(yè)經(jīng)驗：人，才是最大的威脅；無論是外部、內(nèi)部、無心、有意過失。（沒有丑女人、只有懶女人）我想可以套用在此處，純屬個人見解。

CC/采集防護

什么是CC攻擊，簡單的說一下，就是用較少的代價惡意請求web（應用）中的重資源消耗點（CPU/IO/數(shù)據(jù)庫等等）從而達到拒絕服務的目的；數(shù)據(jù)采集，就是內(nèi)容抓取了，簡單這么理解吧

 非官方學術類的解釋，先將就理解下 關于本文對CC攻擊的分析和相關的防護算法，都是我在實戰(zhàn)中分析總結，并形成自己的方法論，不足之處、歡迎指正。