如果用Node.JS做Web服务,很多时候是会选择Express的。

本文,将展示如何如何实现一个WAF中间件。

WAF有什么用?

WAF即Web Application Firewall,Web应用防火墙,防攻击、防黑客的。

小提示:npm上,目前还没有专业的express中间件WAF,这可是稀缺的技术!

先看完整示例代码:

var express = require('express');var app = express();

//当访问根目录时触发app.get('/', function (req, res) {   res.send('Hello Jshaman.com');})

//WAF中间件app.use(function(req, res, next) {    var path = req.url;    console.log(path);    if(waf_detect(path) == false){        next();    }    //console.log(req.cookies);    //console.log(req.headers['user-agent']);});

//使用正则表达式,检测字符串是否含有攻击特征,检测到攻击特征返回true,没检测到返回falsefunction waf_detect(str_to_detect){

    var regexp_rule =[        /select.+(from|limit)/i,        /(?:(union(.*?)select))/i,        /sleep\((\s*)(\d*)(\s*)\)/i,        /group\s+by.+\(/i,        /(?:from\W+information_schema\W)/i,        /(?:(?:current_)user|database|schema|connection_id)\s*\(/i,        /\s*or\s+.*=.*/i,        /order\s+by\s+.*--$/i,        /benchmark\((.*)\,(.*)\)/i,        /base64_decode\(/i,        /(?:(?:current_)user|database|version|schema|connection_id)\s*\(/i,        /(?:etc\/\W*passwd)/i,        /into(\s+)+(?:dump|out)file\s*/i,        /xwork.MethodAccessor/i,        /(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(/i,        /\<(iframe|script|body|img|layer|div|meta|style|base|object|input)/i,        /(onmouseover|onmousemove|onerror|onload)\=/i,        /javascript:/i,        /\.\.\/\.\.\//i,        /\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)/i,        /(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv).*\|\|/i,        /(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\//i    ];

    for(i=0; i< regexp_rule.length; i++){        if(regexp_rule[i].test(str_to_detect) == true){			console.log("attack detected, rule number:", "("+i+")", regexp_rule[i]);			return true;        }    }    return false;}

var server = app.listen(8000, function () {   var host = server.address().address   var port = server.address().port   console.log(host, port);})

本示例,是一个带有WAF功能的Web应用。

内置的中间件部分,实现WAF的防护功能:

//WAF中间件app.use(function(req, res, next) {    var path = req.url;    console.log(path);    if(waf_detect(path) == false){        next();    }    //console.log(req.cookies);    //console.log(req.headers['user-agent']);});

即,对发起的请求进行过滤,判断请求中是否有恶意行为。如果有,则不让中件间进行next(),请求也就被中断,达到防止攻击者入侵的目的。

WAF防护规则

攻击检测使用的是正则表达式,这是WAF常用的攻击检测方式。

这套规则来自ShareWAF,ShareWAF是专业、强大的WAF商业产品。

//This rule from:www.sharewaf.comvar regexp_rule =[        /select.+(from|limit)/i,        /(?:(union(.*?)select))/i,        /sleep\((\s*)(\d*)(\s*)\)/i,        /group\s+by.+\(/i,        /(?:from\W+information_schema\W)/i,        /(?:(?:current_)user|database|schema|connection_id)\s*\(/i,        /\s*or\s+.*=.*/i,        /order\s+by\s+.*--$/i,        /benchmark\((.*)\,(.*)\)/i,        /base64_decode\(/i,        /(?:(?:current_)user|database|version|schema|connection_id)\s*\(/i,        /(?:etc\/\W*passwd)/i,        /into(\s+)+(?:dump|out)file\s*/i,        /xwork.MethodAccessor/i,        /(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(/i,        /\<(iframe|script|body|img|layer|div|meta|style|base|object|input)/i,        /(onmouseover|onmousemove|onerror|onload)\=/i,        /javascript:/i,        /\.\.\/\.\.\//i,        /\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)/i,        /(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv).*\|\|/i,        /(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\//i    ];

规则逻辑暂且不详细探讨,因为它是正则表达式,如果详细讲述起来,恐怕得另多写三五篇文章了。

执行效果:

模拟访问发起攻击:

http://127.0.0.1:8000/index.html

即在url中传入select*from admin语句,这是一句常见的SQL注入攻击语句。

可以看到,网站无法打开。在后台输出了拦截信息,并提示出触发了哪条WAF防护规则。

本文只做演示,仅检测了url路径。

那么本代码是可以括展的,可以检测cookie、user-agent、post数据等常见攻击点。

写成一个Express模块是完全可以的。

更多本系列文章:

http://www.fairysoftware.com/node.js_in_practice.html

Node.JS实战36:写一个WAF中间件!防黑客,防攻击的更多相关文章

  1. 用node.js从零开始去写一个简单的爬虫

    如果你不会Python语言,正好又是一个node.js小白,看完这篇文章之后,一定会觉得受益匪浅,感受到自己又新get到了一门技能,如何用node.js从零开始去写一个简单的爬虫,十分钟时间就能搞定, ...

  2. 使用Node.js原生API写一个web服务器

    Node.js是JavaScript基础上发展起来的语言,所以前端开发者应该天生就会一点.一般我们会用它来做CLI工具或者Web服务器,做Web服务器也有很多成熟的框架,比如Express和Koa.但 ...

  3. 用node.js给C#写一个数据表的实体类生成工具

    虽然微软提供了T4模板,但是我感觉非常难用.哪儿比得上直接用脚本来写模板来的爽. 因为要给一个老项目做周边的工具,需要连接到数据库. 我习惯性用EntityFrameworkCore来做,因为毕竟从出 ...

  4. Node.js实战14:一个简单的TCP服务器。

    本文,将会展示如何用Nodejs内置的net模块开发一个TCP服务器,同时模拟一个客户端,并实现客户端和服务端交互. net模块是nodejs内置的基础网络模块,通过使用net,可以创建一个简单的tc ...

  5. iKcamp团队制作|基于Koa2搭建Node.js实战(含视频)☞ 中间件用法

    中间件用法--讲解 Koa2 中间件的用法及如何开发中间件

  6. Node.js实战项目学习系列(1) 初识Node.js

    前言 一直想好好学习node.js都是半途而废的状态,这次沉下心来,想好好的学习下node.js.打算写一个系列的文章大概10几篇文章,会一直以实际案例作为贯穿的学习. 什么是node Node.js ...

  7. iKcamp团队制作|基于Koa2搭建Node.js实战项目教学(含视频)☞ 环境准备

    安装搭建项目的开发环境 视频地址:https://www.cctalk.com/v/15114357764004 文章 Koa 起手 - 环境准备 由于 koa2 已经开始使用 async/await ...

  8. iKcamp|基于Koa2搭建Node.js实战(含视频)☞ 记录日志

    沪江CCtalk视频地址:https://www.cctalk.com/v/15114923883523 log 日志中间件 最困难的事情就是认识自己. 在一个真实的项目中,开发只是整个投入的一小部分 ...

  9. iKcamp|基于Koa2搭建Node.js实战(含视频)☞ 视图Nunjucks

    视频地址:https://www.cctalk.com/v/15114923888328 视图 Nunjucks 彩虹是上帝和人类立的约,上帝不会再用洪水灭人. 客户端和服务端之间相互通信,传递的数据 ...

随机推荐

  1. STM32F407 跑马灯实验

    1.库函数版本调用的函数有哪些?对应的源文件/头文件是哪个? 库函数 源文件 头文件 RCC_AHB1PeriphClockCmd(RCC_AHB1Periph_GPIOF, ENABLE) stm3 ...

  2. mysql 在查字符串字段中 条件参数传为数字0查到与实际数据不匹配问题

    比如: CREATE TABLE `e` ( `id` int(11) DEFAULT NULL, `status` varchar(255) DEFAULT NULL, `b` varchar(25 ...

  3. gperftools尝试

    最近在找windows下比较好用的函数时间统计的库,听同事说gperftools是跨平台的,就下载下来尝试了一把.发现它确实实现了windows上可以调用的dll库文件(tcmalloc_minima ...

  4. noip2017简要题解。

    重新写了一下去年的题来看看自己到底是有多傻逼. 小凯的疑惑 打表. 时间复杂度 搞了一大坨题面,但是真正有用的信息只有几个: 判断他给你的复杂度是多少. 判断当前循环进不进的去. 判断当前循环产生的贡 ...

  5. 043:Django使用原生SQL语句操作数据库

    Django使用原生SQL语句操作数据库 Django配置连接数据库: 在操作数据库之前,首先先要连接数据库.这里我们以配置 MySQL 为例来讲解. Django 连接数据库,不需要单独的创建一个连 ...

  6. 【NOIP2016提高A组模拟7.17】寻找

    题目 Bob和Alice出去度蜜月,但Alice不慎走失,Bob在伤心过后,决定前去寻找Alice. 他们度蜜月的地方是一棵树,共有N个节点,Bob会使用下列DFS算法对该树进行遍历. startin ...

  7. watch和computed

    watch和computed都是以Vue的依赖追踪机制为基础的,它们都试图处理这样一件事情:当某一个数据(称它为依赖数据)发生变化的时候,所有依赖这个数据的“相关”数据“自动”发生变化,也就是自动调用 ...

  8. 利用Django框架实现分页 demo

  9. 3D打印格式STL

    STL格式及其转换 近期接触了3D打印的一些东西,也制作了一个vrml转stl的插件,对该领域多了一些认识. 目前尚没有打印机直接支持stl.obj等格式,在打印之前需使用厂家提供的软件将stl等格式 ...

  10. luogu P1217 [USACO1.5]回文质数 Prime Palindromes x

    P1217 [USACO1.5]回文质数 Prime Palindromes 题目描述 因为151既是一个质数又是一个回文数(从左到右和从右到左是看一样的),所以 151 是回文质数. 写一个程序来找 ...