实现一个简单的防火墙,例如:
当我提交一个 select * from 疑似 sql注入的参数时,则会直接被拦截
下载waf配置:
代码语言:javascript复制wget https://github.com/loveshell/ngx_lua_waf/archive/v0.7.2.tar.gz解压文件并将
./config.lua,
./init.lua,
./waf.lua,
./wafconf/*
文件移动到你的项目目录
例如在上篇文章中的openrestyTest/config 目录:
代码语言:javascript复制[root@tioncico-server openrestyTest]# tree
.
├── client_body_temp
├── conf
│ ├── nginx.conf
│ └── waf
│ ├── config.lua
│ ├── init.lua
│ ├── wafconf
│ │ ├── args
│ │ ├── cookie
│ │ ├── post
│ │ ├── url
│ │ ├── user-agent
│ │ └── whiteurl
│ └── waf.lua
├── index.php
├── logs
│ ├── access.log
│ ├── error.log
│ └── hack
│ └── xxx.easyswoole.cn_2020-11-23_sec.log新增./log/hack/目录,并且将 ./conf/waf/config.lua里面的RulePath,logdir路径修改为正确路径
在nginx.conf中的http块中新增代码:
代码语言:javascript复制lua_package_path "/usr/local/openresty/lualib/?.lua;/www/wwwroot/homeTest/openrestyTest/conf/waf/?.lua";
lua_shared_dict limit 10m;
access_by_lua_file /www/wwwroot/homeTest/openrestyTest/conf/waf/waf.lua;
init_by_lua_file /www/wwwroot/homeTest/openrestyTest/conf/waf/init.lua;注意:lua_package_path,必须引入openresty安装目录的lualib,然后增加一个分号,引入当前项目的waf/?.lua,否则将会报错:
nginx: [alert] failed to load the 'resty.core' module (https://github.com/openresty/lua-resty-core); ensure you are using an OpenResty release from https://openresty.org/en/download.html (reason: module 'resty.core' not found:
直接启动项目,在项目后面增加: ?id=select * from information_schema
即可触发waf防护
本文为仙士可原创文章,转载无需和我联系,但请注明来自仙士可博客www.php20.cn
