Nginx 防火墙 8.4.2 更新

Nginx 防火墙从2018年五月发布到现在已经两年，经过近两年的迭代 Nginx 防火墙升级至8.4.2

一、如何更新到最新版
如果你没有在软件列表中看到更新，请点击更新软件列表
TIM截图20200429145438.png

二、此次更新优化如下：

1. multipart/form-data  请求分离

2. 内置上传文件规范

3. 内置参数格式规范

4. 参数传递规范

5. 误报减少

6. webshell 上传过滤

7. GET 传递参数默认防御XSS

8. 前端页面优化更加舒适

三、优化体验

3.1  内置优化
异常流量  当头部流量中出现多个Content-Type  的时候
TIM图片20200429150215.png

上传流量异常的时候

3.2 参数传递规范（GET/POST）
TIM截图20200429150726.png

3.3 webshell 上传过滤
TIM截图20200429150910.png

3.4 multipart/form-data 请求分离
TIM截图20200429151209.png

这里的话。只会取除掉上传文件的包的其他的参数进行一个过滤。分清楚那个包是那个参数的一个具体

3.5 GET 默认防御XSS

TIM截图20200429151723.png

POST触发XSS 需要触发5次之后才会去拦截

3.6 前端优化
TIM截图20200429151845.png

四、WAF 拦截对比
针对webshell 上传这个做一个对比
4.1 某厂商waf
TIM截图20200429173228.png

绕过

4.2 某盾

绕过

4.3 某武盾

绕过

4.4 国外某盾

绕过

4.5 国内某某盾
好像没有做这方面的防御。直接就绕过了
TIM截图20200429180337.png

五、总结
1. 此处更新感谢那些支持宝塔的测试人员
2. 此版本为稳定版可以放心更新
3. Centos8.1 可能会有兼容性的问题。近期正在处理
4.以上bypass均由现有waf对不规范的http协议支持不当导致,
宝塔waf内置协议规则解决了,这类痛点,所以能做到更好的拦截

mrwu888 · 发表于 2020-4-29 15:24:26

收到。

wangzhj · 发表于 2020-4-29 18:17:37

大佬牛批

jzetv · 发表于 2020-4-29 21:05:09

官方就是厉害

【菠萝云】16G内存99¥免费装宝塔	A2招租，联系qq394030111	A3招租，联系qq394030111	✅易探云·香港/美国vps仅9元	【UStat】免费易用的网站分析平台
高防服务器，无视一切流量攻击	【阿里云】宝塔一键部署，低至5折	A8招租，联系qq394030111	【阿里云】宝塔一键部署，低至5折	OV/EV SSL证书，可当日签发
A11招租，联系qq394030111	A12招租，联系qq394030111	OV/EV SSL证书，可当日签发	A14招租，联系qq394030111	【UStat】免费易用的网站分析平台