各种开源WAF收集集锦

开源WAF集锦收集

https://blog.51cto.com/14678079/2474927

1.免费版本sharewaf

http://www.sharewaf.com/

2.hihttps

hihttps是一款少有完整源码的高性能WEB应用 + MQTT物联网防火墙，兼容ModSecurity规则并开源。特点是使用超级简单，就一个约10M的可执行文件，但防护功能一应俱全，包括：漏洞扫描、CC &DDOS、密码破解、SQL注入、XSS***等。

更重要的是hihttps基于机器学习的商业版本，也是免费的，由机器自动采集样本无监督学习，自动生成对抗规则。众所周知，阿里云/腾讯云等WAF非常贵，很多中小企业买不起，可以下载一个免费的hihttps试试。

项目地址：https://github.com/qq4108863/ 官网：http://www.hihttps.com

3.ModSecurity

https://www.modsecurity.org/

ModSecurity已经有10多年的历史，最开始是一个Apache的安全模块，后来发展成为开源的、跨平台的WEB应用防火墙。它可以通过检查WEB服务接收到的数据，以及发送出去的数据来对网站进行安全防护。

最厉害的是著名安全社区OWASP，开发和维护着一套免费的应用程序保护规则，这就是所谓OWASP的ModSecurity的核心规则集(即CRS)，几乎覆盖了如SQL注入、XSS跨站***脚本、DOS等几十种常见WEB***方法。

项目地址：https://github.com/SpiderLabs/ModSecurity

http://www.modsecurity.cn/practice/

http://www.modsecurity.cn/chm/index.html

https://www.jianshu.com/p/f9c636eb0d4c

https://zhuanlan.zhihu.com/p/80866123

http://www.owasp.org.cn/owasp-project/ModSecurity

https://www.freebuf.com/sectool/211354.html

https://me.csdn.net/alex_seo

https://www.cnblogs.com/Hi-blog/p/ModSecurity.html

https://cloud.tencent.com/developer/information/ModSecurity

https://mp.weixin.qq.com/s/OWTpiZb_7O4g4UV1EHrzsw

4.Naxsi

https://github.com/nbs-system/naxsi

Naxsi 是一款基于Nginx模块的防火墙，有自己规则定义，崇尚低规则。项目由C语言编写，需要熟练掌握Nginx源码的才能看懂。

项目地址：https://github.com/nbs-system/naxsi

https://klionsec.github.io/2017/09/18/naxsiwaf/

https://jkme.github.io/naxsi-rule.html

https://ngx.hk/2016/12/06/naxsi%E8%A7%84%E5%88%99%E7%AE%80%E5%8D%95%E8%AF%B4%E6%98%8E.html

https://www.jianshu.com/p/0044c1131b48

https://blog.meow.page/2018/05/16/nginx-with-naxsi-waf/

https://blog.micblo.com/archives/

https://www.shangyexinzhi.com/article/505278.html

https://cloud.tencent.com/developer/article/1349138

https://4hou.win/wordpress/?p=19789

http://tanjiti.lofter.com/post/1cc6c85b_10c4e107

5.OpenWAF

https://github.com/titansec/OpenWAF

OpenWAF是基于Nginx_lua API分析HTTP请求信息,由行为分析引擎和规则引擎两大功能引擎构成，其中规则引擎主要对单个请求进行分析，行为分析引擎主要负责跨请求信息追踪。

规则引擎的启发来自modsecurity及freewaf(lua-resty-waf)，将ModSecurity的规则机制用lua实现。

基于规则引擎可以进行协议规范，自动工具，SQL注入，跨站***，信息泄露，异常请求等安全防护，支持动态添加规则，及时修补漏洞。缺点是复杂，不适合不熟悉Nginx和lua语言的开发者。

项目地址：https://github.com/titansec/OpenWAF

6.FreeWAF

https://github.com/p0pr0ck5/lua-resty-waf

此WAF据说就是lua-resty-waf，不肯定

FeeWAF是一款开源的WEB应用防火墙产品，其命名为FreeWAF，它工作在应用层，对HTTP进行双向深层次检测：对 Internet进行实时防护，避免***利用应用层漏洞非法获取或破坏网站数据，可以有效地抵御***的各种***，如SQL注入、XSS、CSRF***、缓冲区溢出、应用层DOS/DDOS***等；同时，对WEB服务器侧响应的出错信息、恶意内容及不合规格内容进行实时过滤，避免敏感信息泄露，确保网站信息的可靠性。但项目已经很久没更新了。

7.ESAPI WAF

此WAF挂了，找不到下载链接

这是OWASP ESAPI 项目提供的一个开源WAF，基于J2EE实现，其主要利用XML的配置方式驱动防火墙。安装时，在WEB.xml中将ESAPIWEBApplicationFirewallFilter配置为filter，在应用程序之前和之后处理输入和输入。

8.unixhot

https://github.com/unixhot/waf

unixhot是使用Nginx+Lua实现自定义WAF，一句话描述，就是解析HTTP请求（协议解析模块），规则检测（规则模块），做不同的防御动作（动作模块），并将防御过程（日志模块）记录下来，非常简单。

项目地址：

https://github.com/unixhot/waf

https://github.com/loveshell/ngx_lua_waf

https://github.com/wubonetcn/luawaf

https://github.com/ZhongAnTech/maiev-waf

https://github.com/ZhongAnTech/maiev-waf-web

上述3款WAF都有共同指出就是安装好openresty然后将其WAF配置信息复制到openresty的配置下即可

9.Java WAF

https://github.com/chengdedeng/waf

用Java开发的WAF很少，我们发现一个使用Java开发的API Gateway，由于WAF构建在开源代理LittleProxy之上，所以说WAF底层使用的是Netty。功能上支持安全拦截、各种分析检测、脚本（沙箱）、流控/CC防护等。不会C语言，是Java爱好者的福音。

项目地址：https://github.com/chengdedeng/waf

10.X-WAF

X-WAF是一款适用中、小企业的云WAF系统，让中、小企业也可以非常方便地拥有自己的免费云WAF。核心基于openresty + lua开发，waf管理后台：采用golang + xorm + macrom开发的，支持二进制的形式部署。

项目地址：https://github.com/xsec-lab/x-waf

11.VeryNginx

https://github.com/alexazhou/VeryNginx/

VeryNginx 也是基于 lua_Nginx_module(openrestry) 开发，实现了高级的防火墙、访问统计和其他的一些功能。集成在 Nginx 中运行，扩展了 Nginx 本身的功能，并提供了友好的 WEB 交互界面。

项目地址：https://github.com/alexazhou/VeryNginx/

12.JXWAF

https://github.com/jx-sec/jxwaf

JXWAF 是一款开源的 Web 应用防火墙,可用于防护 SQL 注入漏洞,XSS 漏洞,命令执行漏洞等 OWASP 常见攻击,CC 攻击等,避免网站数据泄露,保障网站可用性和安全性 https://www.jxwaf.com/

13.go-waf

https://github.com/kumustone/waf

基于go开发的waf，包括网关和WAF两部分；

各种开源WAF收集集锦

推荐阅读更多精彩内容