我们根据行业评论，您的反馈和自己的经验，准备了2018年最佳黑客工具的有用列表。 此列表将告诉您有关用于黑客目的的最佳软件，包括端口扫描程序，Web漏洞扫描程序，密码破解程序，取证工具，流量分析和社交工程工具。

我们编制了这个顶级黑客软件列表及其最佳功能和下载链接。 阅读它们，了解如何使用它们并分享您的评论，以使这个列表更好。 如果您正在寻找用于道德黑客攻击和测试的专用操作系统，请查看此专用文章 

1. Metasploit | Best collection of exploit tools

 

我不是将Metasploit称为漏洞利用工具的集合，而是将其称为可用于构建自己的自定义工具的基础架构。 这个免费工具是最流行的网络安全工具之一，允许您在不同平台上查找漏洞。 Metasploit拥有超过200,000名用户和贡献者，可帮助您获得洞察力并发现系统中的弱点。

这个2018年的顶级黑客工具包让你可以模拟真实世界的攻击，告诉你弱点并找到它们。 作为渗透测试人员，它使用Top Remediation报告通过Nexpose闭环集成来确定漏洞。 使用开源Metasploit框架，用户可以构建自己的工具并充分利用这个多用途黑客工具。

支持的平台和下载：

Metasploit适用于所有主要平台，包括Windows，Linux和OS X.

2. Acunetix WVS | Vulnerability Scanner

 

Acunetix是一个Web漏洞扫描程序（WVS），可以扫描并发现网站中可能导致致命错误的缺陷。 这个多线程工具抓取一个网站，发现恶意的跨站点脚本，SQL注入和其他漏洞。 这个快速且易于使用的工具可以从WordPress.ethical-hacking-course-square-ad中的1200多个漏洞中扫描WordPress网站

Acunetix附带一个登录序列记录器，允许用户访问网站的密码保护区域。 此工具中使用的新AcuSensor技术可以降低误报率。 这些功能使Acunetix WVS成为您需要在2018年结账的首选黑客工具。

支持的平台和下载：

Acunetix适用于Windows XP及更高版本。

3. Nmap | Port scanner tool

Nmap - 也称为网络映射器 - 属于端口扫描程序工具的类别。 这个免费的开源黑客工具是最流行的端口扫描工具，可以实现高效的网络发现和安全审计。 Nmap用于广泛的服务，使用原始IP数据包来确定网络上可用的主机，它们的服务以及详细信息，主机使用的操作系统，使用的防火墙类型以及其他信息。

去年，Nmap赢得了多项年度奖项的安全产品，并出现在多部电影中，包括The Matrix Reloaded，Die Hard 4等。 在命令行中可用，Nmap可执行文件也带有高级GUI头像。

支持的平台和下载：

Nmap适用于所有主要平台，包括Windows，Linux和OS X.

4. Wireshark | Packet analyzer

 

Wireshark是一种众所周知的数据包制作工具，可以发现网络中的漏洞并探测防火墙规则集。 成千上万的安全专业人员使用它来分析数百个协议的网络和实时口袋捕获和深度扫描。 Wireshark可帮助您从以太网，IEEE 802.11，PPP / HDLC，ATM，蓝牙，USB，令牌环，帧中继，FDDI等读取实时数据。

这个免费的开源工具最初被命名为Ethereal。 Wireshark还有一个名为TShark的命令行版本。

支持的平台和下载：

这种基于GTK +的网络协议分析器可在Linux，Windows和OS X上轻松运行。

5. oclHashcat | Password cracking tool

 

如果密码破解是您每天都要做的事情，您可能会注意到免费密码破解工具Hashcat。 虽然Hashcat是一个基于CPU的密码破解工具，但oclHashcat是其高级版本，它使用GPU的强大功能。

oclHashcat称自己是世界上第一个也是唯一一个基于GPGPU的引擎的世界上最快的密码破解工具。 对于使用该工具，NVIDIA用户需要ForceWare 346.59或更高版本，AMD用户需要Catalyst 15.7或更高版本。

此工具使用以下攻击模式进行破解：

• 直接
• 组合
• 暴力
• 混合字典+面具
• 混合蒙版+字典

提到另一个主要功能，oclHashcat是一个MIT许可下的开源工具，可以轻松集成或打包常见的Linux发行版。

支持的平台和下载：

这个有用的密码破解工具可以在Linux，OSX和Windows的不同版本中下载。

6. Nessus | 漏洞扫描程序

 

这个2018年的顶级免费安全工具在客户端 - 服务器框架的帮助下工作。该工具由Tenable Network Security开发，是我们最受欢迎的漏洞扫描程序之一。 Nessus为不同类型的用户提供不同的用途--Nessus Home，Nessus Professional，Nessus Manager和Nessus Cloud。

使用Nessus，可以扫描多种类型的漏洞，包括远程访问漏洞检测，错误配置警报，拒绝针对TCP / IP堆栈的服务，准备PCI DSS审计，恶意软件检测，敏感数据搜索等。要启动字典攻击，Nessus也可以称之为流行工具Hydra external.ethical-hacking-course-square-ad

除了上述基本功能外，Nessus还可用于扫描IPv4，IPv6和混合网络上的多个网络。您可以将计划扫描设置为在所选时间运行，并使用选择性主机重新扫描重新扫描先前扫描的主机的全部或子部分。

支持的平台和下载：

Nessus得到了各种平台的支持，包括Windows 7和8，Mac OS X以及Debian，Ubuntu，Kali Linux等流行的Linux发行版。

7. Maltego 取证平台

 

Maltego是一个开源取证平台，提供严格的挖掘和信息收集，以描绘您周围的网络威胁。 Maltego擅长展示基础设施和周围环境中故障点的复杂性和严重性。

Maltego是一个很棒的黑客工具，可以分析人，公司，网站，域名，DNS名称，IP地址，文档等等之间的真实世界链接。 该工具基于Java，在易于使用的图形界面中运行，在扫描时丢失了自定义选项。

支持的平台和下载：

Maltego安全工具适用于Windows，Mac和Linux。

8. Social-Engineer Toolkit

 

TrustedSec的Social-Engineer Toolkit也是Robot先生的特色，是一个用于模拟多种类型的社会工程攻击的高级框架，如凭据收获，网络钓鱼攻击等。 在节目中，Elliot被使用来自Social-Engineer Toolkit的SMS欺骗工具。

这个Python驱动的工具是社交工程渗透测试的标准工具，下载量超过200万。 它可以自动化攻击并生成伪装的电子邮件，恶意网页等。

支持的平台和下载：

要在Linux上下载SET，请键入以下命令：

git clone https://github.com/trustedsec/social-engineer-toolkit/ set /

除Linux之外，Mac OS X和Windows部分支持Social-Engineer Toolkit。

9. Netsparker | Web app scanner

 

Netsparker是一种流行的Web应用程序扫描程序，可以找到SQL注入和本地文件归纳等缺陷，以只读和安全的方式建议补救措施。 由于这个黑客工具产生了一个利用证据，您不需要自己验证漏洞。 万一它无法自动验证缺陷，它会提醒您。 这个黑客工具很容易上手。 只需输入URL并让它执行扫描。 Netsparker支持基于JavaScript和AJAX的应用程序。 因此，您无需配置扫描仪或依赖某些复杂的扫描设置来扫描不同类型的Web应用程序。

如果你不想为Netsparker的专业版付钱，他们也有一个你可以使用的演示版。

支持的平台和下载：

Netsparker Web应用程序扫描程序适用于Windows

10. w3af | Web app scanner

 

w3af是一款免费的开源Web应用程序安全扫描程序，被黑客和渗透测试人员广泛使用。 w3af代表Web应用程序攻击和审计框架。使用此黑客工具，可以获得可以在渗透测试约定中进一步使用的安全漏洞信息。 w3af声称可识别200多个漏洞（包括跨站点脚本，SQL注入，PHP错误配置，可猜测的凭据和未处理的应用程序错误），并使Web应用程序（和网站）更安全。

w3af同时提供命令行和图形用户界面，以满足黑客的需求。只需不到5次点击并为初学者使用预定义的配置文件，就可以审核Web应用程序的安全性。由于它有详细记录，新用户可以轻松找到自己的方式。作为一个开源黑客工具，经验丰富的开发人员可以使用代码，添加新功能和创建新功能。

支持的平台和下载：

w3af适用于Linux，BSD和OS X.在Windows上，支持其旧版本。

11. John The Ripper

 

在密码破解工具方面，John The Ripper成为大多数道德黑客的最佳选择。 这个免费的开源软件以源代码的形式分发。

John The Ripper主要使用C编程语言编写。 它已经能够实现一个伟大的伴侣的地位，因为它是许多密码破解者合二为一的事实。 不同的模块使其能够使用不同的加密技术破解密码

支持的平台和下载：

John The Ripper黑客软件可在各种平台上使用，包括Windows，Linux，DOS，OpenVMS和Unix。

12. Aircrack-ng | Password cracking tool

在密码破解方面，Aircrack-ng是您可以探索的另一种选择。 该网络套件包括探测器，流量嗅探器和密码破解工具。 所有这些工具都是基于命令行的，并允许繁重的脚本。

使用Aircrack-ng黑客软件，您可以捕获数据包，将数据导出到文本文件，执行不同的攻击，检查WiFi卡和驱动程序功能，破解WEP和WPA PSK等。

支持的平台和下载：

Aircrack-ng适用于macOS，Linux，FreeBSD，Windows等不同平台。 Lunux版本也已移植到Android。

2018年的多种类别的其他顶级黑客和安全工具：

• Web漏洞扫描程序 - Burp Suite，Firebug，AppScan，OWASP Zed，Paros Proxy，Nikto，Grendel-Scan
• 漏洞利用工具 - Netsparker，sqlmap，Core Impact，WebGoat，BeEF
• 法医工具 - Helix3 Pro，EnCase，Autopsy
• 端口扫描仪 - Unicornscan，NetScanTools，愤怒的IP扫描仪
• 交通监控工具 - Nagios，Ntop，Splunk，Ngrep，Argus
• 调试器 - IDA Pro，WinDbg，Immunity Debugger，GDB
• Rootkit探测器 - DumpSec，Tripwire，HijackThis
• 加密工具 - KeePass，OpenSSL，OpenSSH / PuTTY / SSH，Tor
• 密码破解者 - John the Ripper, Hydra, ophcrack

我们希望您发现此列表有用。 在下面的评论中分享您的评论，并帮助我们改进此列表。

下载地址:

1. Metasploit :https://www.metasploit.com/
2. Acunetix WVS:http://www.acunetix.com/vulnerability-scanner/
3. Nmap:https://nmap.org/
4. Wireshark :https://www.wireshark.org/
5. oclHashcat :https://hashcat.net/oclhashcat/
6. Nessus:http://www.tenable.com/
7. Maltego :https://www.paterva.com/web6/products/maltego.php
8. Social-Engineer Toolkit:https://github.com/trustedsec/social-engineer-toolkit/
9. Netsparker :https://www.netsparker.com/web-vulnerability-scanner/
10. w3af :http://w3af.org/
11. John The Ripper:http://www.openwall.com/john/
12. Aircrack-ng:https://www.aircrack-ng.org/

阅读此列表的更新版本：您应该考虑的47个强大的开源应用程序秒工具

您无需花费大量资金在应用程序开发和交付日程中引入高功率安全性。这本开源应用程序工具指南旨在帮助那些希望投资应用程序安全软件的团队了解开源领域的内容，以及如何思考这些选择。随后将发布商业app sec供应商指南。

为什么需要免费的app sec工具指南？一般而言，有关应用程序安全性的信息可能会令人困惑，因为网站通常会在没有明确描述所提供解决方案类别的情况下展示产品的优势。这使得将一种产品与下一种产品进行比较变得困难。开源项目的网站通常提供有关特定工具的非常精细的信息，这要求读者已经了解如何以及为何使用特定工具。

开源app sec工具的价值

大多数开源项目都是针对app sec要求而设计的，其规模小于商业供应商所倾向的目标。尽管如此，我们认为这个高度专注的开源应用程序提供商名单应该为安全爱好者所熟悉，他们寻求针对特定类型的网络威胁的新的创造性方法。

其中一些操作系统项目非常活跃，并且经常使用新功能进行更新;其他人，嗯，不是那么多，但他们值得一试。自网络诞生以来，一些更强大的OS技术已经存在;其他人都很新，在推特和其他地方有越来越多的粉丝。

请注意，此处的一些列表是免费的“社区版”的高级商业产品。另请注意，您无法再通过.org或.net后缀识别开源项目。正如您将看到的，许多人现在使用.com约定以及许多其他URL约定。

Andiparos

着名的Paros Proxy的一个分支，一个开源Web应用程序安全评估工具，为渗透测试人员提供了抓取网站，分析内容，拦截和修改请求的能力

网址：https：//code.google.com/archive/p/andiparos

 

BackTrack

这个发行版称为基于Linux的渗透测试工具，配置有数百种安全测试工具和脚本

网址：http：//www.backtrack-linux.org

BeEF

开源的渗透测试

网址：http：//beefproject.com

 

Caja

用于使第三方HTML，CSS和JavaScript安全嵌入网站的编译器。它使用对象功能安全模型来实现各种灵活的安全策略。

网址：http：//developers.google.com/caja

 

ClamAV

用于检测特洛伊木马，病毒，恶意软件和其他恶意威胁的开源防病毒引擎

网址：http：//clamav.net

 

DOM Snitch

实验性Chrome扩展程序，使开发人员和测试人员能够识别客户端代码中常见的不安全做法。开发人员和测试人员可以在浏览器内部进行DOM修改，无需使用调试器逐步执行JavaScript代码或暂停其应用程序的执行

网址：https：//code.google.com/archive/p/domsnitchdomsnitch

 

Ettercap

被称为“针对中间人攻击的综合套件......具有嗅探现场连接，动态内容过滤以及许多其他有趣的技巧。”

网址：http：//ettercap.github.io/ettercap

 

GoLismero

用于安全测试的免费软件框架。

网址：http：//www.golismero.com

 

谷歌黑客数据库（GHDB）

SecTools.org将其描述为“安全研究人员和渗透测试人员的金矿”，该网站是漏洞利用数据库的一部分，这是一个非营利性项目，由进攻性安全部门提供为公共服务。

网址：https：//www.exploit-db.com/google-hacking-database

 

Google应用安全工具

谷歌表示，这些工具“解决了其他开源工具中存在的差距。这些工具可能需要进行一些小的调整或编译才能在您的系统上运行。”有些是单独列在此列表中。

网址：https：//www.google.com/about/appsecurity/tools

Grabber

Web应用程序扫描程序，可以检测Web应用程序中的许多安全漏洞。一个开源的Web应用程序渗透测试工具

网址：http：//rgaucher.info/beta/grabber

 

Grendel

扫描Web应用程序安全工具以查找安全漏洞;功能也可用于手动渗透测试

网址：https：//sourceforge.net/projects/grendel

 

Gruyere

被称为“小型，俗气的网络应用程序”;允许用户发布文本片段并存储各种文件。警告：Gruyere有多个安全漏洞，包括跨站点脚本和跨站点请求伪造，信息泄露，拒绝服务和远程代码执行

网址：http：//google-gruyere.appspot.com

 

Kali

Linux渗透测试

网址：http：//kali.org

 

Keyczar

开源加密工具包旨在使开发人员在其应用程序中使用加密更容易，更安全。它支持对称和非对称密钥的身份验证和加密;旨在实现开放，可扩展和跨平台兼容。

网址：https：//github.com/google/keyczar

 

Kismet

无线网络探测器，嗅探器和入侵检测系统。 Kismet主要使用Wi-Fi（IEEE 802.11）网络，但可以通过插件扩展以处理其他网络类型。

网址：http：//kismetwireless.org

 

Malwarebytes

适用于Windows的端点安全恶意软件扫描程序。

网址：http：//malwarebytes.org

 

Metasploit

通过Rapid7渗透测试开源的Metasploit

网址：http：//metasploit.com

 

ModSecurity

WAF开源

网址：http：//modsecurity.org

 

Nagios

监控整个IT基础架构，以确保系统，应用程序，服务和业务流程正常运行。

网址：http：//nagios.org

Native Client (NaCl)

一种在浏览器中运行本机编译代码的技术。 NaCl旨在保持人们对Web应用程序的操作系统可移植性和安全性

网址：http：//developer.chrome.com/native-client

 

Nikto2

Web服务器测试工具，用于查找已知的易受攻击脚本，配置错误和相关的安全问题

网址：http：//cirt.net/nikto2

 

NMAP

使用NSE脚本进行网络发现和安全审核的渗透测试实用程序，可以检测网络服务中的漏洞，错误配置和安全相关信息

网址：http：//nmap.org

 

NoScript

Firefox插件，为Firefox，Seamonkey和其他基于Mozilla的浏览器提供额外保护;允许JavaScript，Java，Flash和其他插件只能由您选择的受信任网站执行

网址：http：//noscript.net

 

OpenSSH

通过SSH隧道隧道安装不安全的协议来保护两点之间的流量

网址：http：//www.openssh.com

 

OpenVAS

开源漏洞扫描套件

网址：http：//openvas.org

 

OSSEC

基于主机的入侵检测系统或HIDS

网址：http：//ossec.github.io

 

OWASP

owasp.org提供了一大类开源sec测试工具

网址：https：//www.owasp.org/index.php/Appendix_A:_Testing_Tools

 

Packet Storm

提供各种用于漏洞和渗透的扫描仪工具

网址：http：//packetstormsecurity.org/files/tags/scanner

 

Paros Proxy

用于安全性和漏洞测试的测试工具。用于对整个站点进行爬行/爬网，然后执行预装漏洞扫描程序测试

网址：http：//www.testingsecurity.com/paros_proxy

 

Powerfuzzer

基于HTTP协议的应用程序模糊器基于许多其他开源模糊器

网址：http：//www.powerfuzzer.com

 

Ratproxy

旨在克服用户在使用其他代理工具进行安全审核时通常面临的问题;能够区分CSS样式表和JavaScript代码

网址：https：//code.google.com/archive/p/ratproxy

 

Secunia PSI

一种免费的计算机安全解决方案，可识别私人PC上的应用程序中的漏洞

Web：http：//learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector

 

Security Onion

用于入侵检测，网络安全监控和日志管理的Linux发行版

网址：http：//blog.securityonion.net

 

Skipfish

活跃的Web应用程序安全侦察工具。它通过执行递归爬网和字典工具为站点准备交互式站点地图。使用自定义HTTP堆栈编写的C语言，性能高，易于使用且可靠

网址：https：//code.google.com/archive/p/skipfish

 

Snort

用于UNIX衍生产品和Windows的开源，免费和轻量级网络入侵检测系统（NIDS）

网址：http：//snort.org

 

SonarQube

SonarQube™软件（以前称为“Sonar”）是一个管理代码质量的开放平台。因此，它涵盖了7轴代码质量。

网址：https：//github.com/SonarSource/sonarqube

SQLMAP

渗透测试工具，自动化在网站数据库中查找和利用SQL注入漏洞的过程

网址：http：//sqlmap.org

 

TCPDUMP

在其网站上称为“功能强大的命令行数据包分析器”，许多人仍然使用此工具作为资源密集型Wireshark的替代工具。

网址：http：//tcpdump.org

 

Vega

Web漏洞扫描器和测试平台; SQL注入，跨站点脚本等

网址：https：//subgraph.com/vega

 

W3AF

SQL注入，跨站点脚本检测工具

网址：http：//w3af.org

 

Wapiti

Web漏洞扫描程序，可让您审核Web应用程序的安全性。它通过扫描网页和注入数据来执行黑盒测试

网址：http：//wapiti.sourceforge.net

 

Watcher

一个Fiddler插件，帮助渗透测试人员被动地发现Web应用程序漏洞

网址：http：//websecuritytool.codeplex.com

 

WATOBO

执行高效（半自动）Web应用程序安全审核

网址：http：//watobo.sourceforge.net/index.html

 

WebScarab

基于Java的安全框架，用于使用HTTP或HTTPS协议分析Web应用程序。用Java编写，可移植到许多平台;提供多种操作模式，由多个插件实现。在最常见的用法中，WebScarab作为拦截代理运行

网址：http：//www.owasp.org/index.php/Category：WHASP_WebScarab_Project

 

Websecurify

GNUCITIZEN（参见商业供应商列表）

网址：

 

Wfuzz

免费提供的用于Web应用程序渗透测试的开源工具。它可用于强制GET和POST参数，以便针对SQL，XSS，LDAP等许多其他注入进行测试

网址：http：//code.google.com/p/wfuzz

 

SensePost

设备，网络和应用程序的漏洞工具。工具包括autoDANE，reGeorg，Jack和SensePost Maltego工具集

网址：http：//sensepost.com

 

Wireshark

Wireshark渗透测试和数据包级监控开源;根据需要查看详细的流量;关注网络流并发现问题

网址：http：//wireshark.org

 

Zed攻击代理

也称为Zap。开源，拦截代理是fork和更新严重过时的Paros Proxy。相当强大的手动测试，并包含一些自动测试功能。

网址：https：//www.owasp.org

 

原文：https://techbeacon.com/app-dev-testing/57-open-source-app-sec-tools-guide-free-application-security-software

本文：http://pub.intelligentx.net/57-open-source-app-sec-tools-guide-free-application-security-software

讨论：请加入只是星球或者小红圈【首席架构师圈】

Gauntlt为各种安全工具提供了钩子，并将它们放在安全，开发和运营团队的手中，以协作构建坚固的软件。 它旨在促进组之间的测试和通信，并创建可操作的测试，这些测试可以连接到您的部署和测试过程中。

特征

 

• Gauntlt攻击以易于阅读的语言编写
• 轻松连接到组织的测试工具和流程
• 安全工具适配器配有gauntlt
• 使用unix标准错误和标准输出来传递状态

Gauntlt包含这些工具的攻击适配器：

• curl
• nmap
• sslyze
• sqlmap
• Garmr
• generic command line
• more coming soon

有两种方法可以开始使用gauntlt。 您可以使用gem安装方法，这将需要您下载和设置安全工具（不用担心gauntlt引导您完成）或者您可以使用Gauntlt入门工具包，这是一个流浪脚本，将自动为您启动工具。

 

Get started using in 3 easy steps

1. Install the gem

   
   $ gem install gauntlt
   		    

2. Download example attacks and customize. Here is a very simple network attack using the nmap adapter.

   
   # nmap-simple.attack
   Feature: simple nmap attack to check for open ports
   
     Background:
       Given "nmap" is installed
       And the following profile:
         | name     | value       |
         | hostname | example.com |
   
     Scenario: Check standard web ports
       When I launch an "nmap" attack with:
         """
         nmap -F <hostname>
         """
       Then the output should match /80.tcp\s+open/
       Then the output should not match:
         """
         25\/tcp\s+open
         """
   

3. Run gauntlt to launch the attack defined above

   
   $ gauntlt
     # equivalent to gauntlt ./**/*.attack
     # you can also specify one or more paths yourself:
   $ gauntlt my_attacks/nmap-simple.attack
     # other commands to help
   $ gauntlt --list
     # the list option will show you the tools that are 
     # available to use with gauntlt
   $ gauntlt --steps
     # the steps option will show the gauntlt specific 
     # steps you can use in your attacks
   $ gauntlt --allsteps
     # the allsteps option will show all steps including 
     # aruba file operations and parsing steps that are 
     # available to use in attacks
   $ gauntlt --help
     # when all else fails use the help
   		

   For more attack examples, refer to the examples.

安全测试通常在审计员的日程安排上进行，测试输出并不总是可操作的。 因此，针对已修复问题的回归常常会回到代码中。 这不好。 它应该是不同的。

原文：http://gauntlt.org/

本文：http://pub.intelligentx.net/gauntlt-be-mean-your-code-and-it

讨论：请加入知识星球【首席架构师圈】

nginx是一个网络服务器，它正在世界上越来越多的网站上取代Apache。到目前为止，nginx还不能从ModSecurity提供的安全性中获益。下面是如何安装ModSecurity并让它与nginx一起工作。

今年早些时候，流行的开源网络应用防火墙ModSecurity发布了其软件的第三版。版本3与早期版本有很大的不同，因为它现在已经模块化了。在版本3之前，ModSecurity仅作为一个依赖模块与Apache web服务器一起工作，因此其他HTTP应用程序无法使用ModSecurity。现在，HTTP过滤引擎ModSecurity的核心功能作为一个独立的库libModSecurity存在，它可以通过一个“连接器”集成到任何其他应用程序中。连接器是允许任何应用程序访问libModSecurity的一小段代码。

Web应用程序防火墙(WAF)是用于HTTP请求的一种防火墙。标准防火墙在数据包到达和离开网络接口时检查数据包，并根据规则列表比较数据包的属性。规则规定防火墙是允许数据包通过还是阻止数据包。

ModSecurity执行与标准防火墙相同的任务，但它不是查看数据包，而是在HTTP流量到达服务器时检查它。当HTTP请求到达服务器时，它首先通过ModSecurity路由，然后再路由到目标应用程序，如Apache2或nginx。ModSecurity将入站HTTP请求与规则列表进行比较。这些规则定义了恶意或有害请求的形式，因此，如果传入的请求与规则匹配，ModSecurity将阻止请求到达可能造成伤害的目标应用程序。

下面的例子演示了ModSecurity如何保护WordPress站点。下面的HTTP请求是index.php文件的非恶意请求，它出现在Apache2的日志文件中:

GET /index.php HTTP/1.1

这个请求不匹配任何规则，因此ModSecurity允许它进入web服务器。

WordPress在一个名为wp-config的文件中保存了很多秘密信息，比如数据库密码。它位于与index.php文件相同的目录中。粗心的系统管理员可能不保护这个重要的文件，这意味着像Apache或nginx这样的web服务器很乐意为它提供服务。这是因为它们将提供不受特定配置保护的任何文件。这意味着以下恶意请求:

GET /wp-config.php HTTP/1.1

将由Apache提供给任何请求它的人。

这就是ModSecurity为接受HTTP数据的应用程序提供保护的地方。在本例中，免费的核心ModSecurity规则集包含拒绝任何试图访问WordPress安装中的任何敏感文件的HTTP请求的规则。核心规则集还包含另一个流行的CMS Drupal的规则。

核心规则集还包含许多其他规则，这些规则涵盖了恶意构造HTTP请求以从网站获得访问或机密信息的许多其他方法。这些方法包括SQL注入、漏洞扫描、Java和PHP漏洞利用等等。ModSecurity还支持自定义规则，因此您可以通过编写自己的规则来保护HTTP应用程序免受特定目标的攻击。

首先让我们安装核心ModSecurity库libModSecurity，然后安装nginx连接器，使nginx能够使用ModSecurity。在版本3之前，nginx不可能使用ModSecurity。如果您正在使用Apache2，您应该继续使用ModSecurity version 2，因为Apache2连接器仍然有很多bug，不建议在生产环境中使用。

 

编译和安装libModSecurity

ModSecurity3不能通过包管理器用于任何主要的Linux发行版。相反，您需要克隆ModSecurity GitHub存储库，并从其源代码构建库。但在此之前，您必须安装所有必需的构建工具和依赖项。下面的列表的包提供了所有必需的和大部分的可选的差异在Debian和Ubuntu发行版:野牛,flex,, automake, gcc, pkg-config, libtool, doxygen, git,卷发,zlib1g-dev, libxml2-dev, libpcre3-dev,建设重要,libyajl-dev, yajl-tools, liblmdb-dev, rdmacm-utils, libgeoip-dev, libcurl4-openssl-dev, liblua5.2-dev, libfuzzy-dev, openssl和libssl-dev。

注意，其中一些包在基于Red hat的发行版上有不同的名称。这个页面将帮助您确定具体的包名是什么。

安装这些包之后，您可以继续编译库。这些指令与分布无关。

首先，克隆libModSecurity git存储库，它将下载构建libModSecurity所需的所有源代码。使用/opt/目录作为所有源代码的目标。移动到/opt/目录，并使用以下命令克隆libModSecurity git存储库:

cd /opt/
git clone https://github.com/SpiderLabs/ModSecurity

接下来，进入克隆ModSecurity存储库时创建的新目录，并切换到v3分支。你还需要引入几个必要的子模块:

cd ModSecurity
git checkout v3/master
git submodule init
git submodule update

现在可以构建libModSecurity了。对于任何从源代码编译程序的人来说，这应该是一个熟悉的过程。你只需要以下三个命令来编译和安装程式库:

sh build.sh
./configure
make
make install

如果您在一个普通的虚拟服务器上运行make命令，则需要几分钟。libModSecurity库现在安装在/usr/local/modsecurity/lib/ libModSecurity .so上。但是，在安装将HTTP数据连同一些规则重定向到libModSecurity库的应用程序和连接器之前，它不能做任何事情。下一节将介绍如何安装nginx连接器和ModSecurity开发人员提供的核心规则集。

编译nginx连接器

让我们利用nginx动态加载第三方模块的能力来编译nginx连接器。nginx从1.11.5版开始就能够做到这一点。此版本或更高版本在大多数主要发行版的标准存储库中都不可用。nginx为Red Hat/CentOS、Debian和Ubuntu的当前稳定版本提供了存储库，其中包含一个支持动态模块加载的版本。这个页面列出了这些存储库以及将nginx存储库添加到您的发行版的信息。在将nginx存储库添加到存储库配置之后，需要使用包管理器安装nginx。当你安装了nginx，用这个命令找到你安装的版本:

nginx - v

当您拥有版本号时，请切换到/opt/目录并从此页下载与nginx版本匹配的源代码，然后解压缩下载的存档文件。

接下来，您需要为ModSecurity nginx连接器克隆git存储库。从/opt/目录中运行以下命令克隆这个存储库:

git clone https://github.com/SpiderLabs/ModSecurity-nginx

现在切换到解压nginx源存档时创建的新目录。在该目录中，运行以下命令编译连接器:

./configure --with-compat
 ↪--add-dynamic-module=/opt/ModSecurity-nginx
make modules

现在，您需要使用以下命令将连接器模块复制到nginx modules目录中:

cp objs/ngx_http_modsecurity_module.so /etc/nginx/modules/

现在已经编译了nginx连接器并将其复制到正确的位置，您需要配置nginx来使用它。此外，还需要下载libModSecurity用于过滤HTTP数据的规则。

首先，移动到nginx配置目录:

cd /etc/nginx/

并将以下行添加到nginx的主配置文件/etc/nginx/nginx.conf:

load_module modules/ngx_http_modsecurity_module.so;

您需要将这一行放在以pid开头的行下面的第一个部分中，而不是放在事件或http部分中。

接下来，创建一个新的目录，并加载ModSecurity规则和配置到其中:

mkdir /etc/nginx/modsec
cd /etc/nginx/modsec
git clone https://github.com/SpiderLabs/
↪owasp-modsecurity-crs.git

使用从git存储库下载的ModSecurity rules配置文件，使用以下命令重新命名它:

mv /etc/nginx/modsec/owasp-modsecurity-crs/
↪crs-setup.conf.example /etc/nginx/modsec/
↪owasp-modsecurity-crs/crs-setup.conf

现在需要将ModSecurity配置文件从构建libModSecurity的目录复制到/etc/nginx/modsec/:

cp /opt/ModSecurity/modsecurity.conf-recommended
 ↪/etc/nginx/modsec/modsecurity.conf

最后，创建一个新的配置文件，加载这两个配置文件和所有规则文件。这个文件将由nginx服务器配置块中的几行代码调用，这将调用ModSecurity的使用。用文本编辑器创建并开始编辑这个文件:

nano /etc/nginx/modsec/main.conf

添加以下三行到这个文件:

Include /etc/nginx/modsec/modsecurity.conf
Include /etc/nginx/modsec/owasp-modsecurity-crs/crs-setup.conf
Include /etc/nginx/modsec/owasp-modsecurity-crs/rules/*.conf

现在已经完成了nginx、libModSecurity、nginx连接器和ModSecurity规则的构建和安装。现在可以启动或重新启动nginx来加载新配置。如果一切正常，在重新启动nginx时，您不会看到打印出任何错误。

测试ModSecurity

让我们通过向“默认”服务器添加几行代码并发出一个将被ModSecurity阻塞的请求来测试ModSecurity。默认的服务器配置是nginx在安装时使用的配置，并且只在本地主机上监听，而不在面向internet的网络接口上监听。这使得在创建任何自定义服务器配置之前启动nginx是安全的，因为默认配置无法从internet访问。

默认服务器配置位于/etc/nginx/conf.d/default.conf。使用文本编辑器打开此文件，并在server_name行下添加以下两行:

modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/main.conf;

重新启动nginx来加载这个新配置。现在，要测试ModSecurity是否正常工作，您所需要做的就是发出一个匹配禁用规则的HTTP请求。

ModSecurity有两种操作模式。默认情况下，它将只记录与禁止规则匹配但允许它们传递给应用程序的查询。这种模式允许系统管理员运行ModSecurity一段时间，并确保没有干扰网站正常运行的假阳性请求被阻塞。ModSecurity将这些与/var/log/modsec_audit.log中禁止的规则匹配的请求记录下来。

您可以创建一个HTTP请求，通过使用curl发出包含禁用用户代理头的请求，该请求将被记录到该日志文件中。下面的命令发出一个HTTP请求，其中包含标题“User-Agent: masscan”。这是一个被禁止的用户代理，所以ModSecurity记录了它目睹了一个被禁止的HTTP请求。这个命令看起来像:

curl -H "User-Agent: masscan" http://localhost/

nginx返回默认的欢迎页面作为原始HTML，但是ModSecurity在/var/log/modsec_audit.log中创建了一个很长的日志条目，开头是:

ModSecurity: Warning. Matched "Operator `PmFromFile'
 ↪with parameter `scanners-user-agents.data' against
 &rarrhkk;variable `REQUEST_HEADERS:User-Agent' (Value: `masscan' )

这表明ModSecurity成功拦截并匹配了恶意HTTP请求。

当您想要将ModSecurity从记录恶意HTTP请求切换到主动阻塞它们时，请编辑/etc/nginx/modsec/modsecurity.conf中的行:

SecRuleEngine DetectionOnly

to

SecRuleEngine On

并重启nginx。现在相同的curl请求将导致403错误:

curl -H "User-Agent: masscan" http://localhost/
<html>
<head><title>403 Forbidden</title></head>
<body bgcolor="white">
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.12.2</center>
</body>
</html>

被阻塞的请求也将被记录到/var/log/modsec_audit.log。

额外的ModSecurity连接器

ModSecurity新的模块化特性意味着任何接受或处理HTTP数据的应用程序都可以使用ModSecurity及其规则来分析HTTP数据。在撰写本文时，ModSecurity v3的发布质量只有几个月的时间，因此没有太多额外的连接器可以让应用程序连接到libModSecurity。

谷歌代码之夏产生了一些有趣的新连接器。第一个扩展了Snort v3使用ModSecurity规则的能力。Snort是一个入侵检测和实时包嗅探及日志记录应用程序。这个连接器允许Snort将捕获的HTTP数据发送到libModSecurity，并根据ModSecurity规则集对其进行检查。这个项目的主页(https://akoul.github.io/)在这里。

第二个google赞助的连接器目标是node.js服务器。js是一个JavaScript运行时，支持创建可伸缩的网络应用程序。该连接器通过ModSecurity路由所有入站HTTP请求，从而向节点应用程序添加一个安全层。你可以在它的主页上阅读更多关于这个项目的信息(https://m2n.me/gsoc)。

ModSecurity v3的发布将ModSecurity从Apache模块转换为一个灵活的应用程序，任何接受HTTP数据的应用程序都可以轻松地利用这个灵活的应用程序。由于人们所依赖的应用程序越来越多地从本地计算机转移到数据中心，因此确保这些应用程序和数据的安全性变得越来越重要。

 

原文：https://www.linuxjournal.com/content/modsecurity-and-nginx

本文：

讨论：请加入知识星球或者小红圈【首席架构师圈】

有时我们看到ModSecurity用户在邮件列表中询问性能。在这篇文章中，我将讨论一些提高ModSecurity性能的重要主题。

1 - HTTP缓存和加速

在一个通用的web环境中，静态内容(例如。图像)http通信的大部分区域。通常，用户不希望对这类内容执行安全规则。因此，第一个建议是在ModSecurity前面设置一个HTTP缓存和加速解决方案。

我们有有趣的开源解决方案，其中之一就是Varnish。。您可以将其设置在ModSecurity前面，并将其配置为缓存静态流量。一旦完成，Varnish将开始提供这类内容，ModSecurity将只看到真正需要的东西。

另一个可能的解决方案是设置规则来检测您想要检查和忽略其他文件扩展名:

SecRuleEngine On

SecAction "id:'1', phase:1, t:none,setvar:'tx.inspect_extensions=.html/ .php/', nolog, pass"

SecRule REQUEST_BASENAME "\.(.*)$""chain,capture,allow,setvar:tx.exts=.%(tx.1}/,phase:1, t:none,t:urlDecodeUni, t:lowercase,id:2,logdata:'%{TX.0}'"

SecRule TX:EXTS "!@within %{tx.inspect_extensions}"

然而，这并不是最好的解决方案，因为即使您跳过所有其他规则，ModSecurity也会花时间对这类数据进行缓冲、转发和执行一些规则。

2 -规则选择

如果您正在使用OWASP核心规则集，那么规则选择是另一个要讨论的重要主题。

我们在CRS中有许多类别的规则，您应该重新查看它们，并确定所有类别和规则对您是否重要。

我们建议加载所有规则，但是从性能的角度来看，有时是不可能的。所以你应该做一个风险分析，并载入原始数据。

3 -规则执行模式

OWASP核心规则集项目中的规则可以在两种不同的模式下执行:

自包含模式——规则继承“拒绝”破坏性操作。第一个匹配的规则将被阻塞。

协作检测模式——这是一种“延迟阻塞”操作模式，其中每个匹配规则将继承“通过”操作，并且只会导致异常分数。

从性能的角度来看，自包含模式是最好的解决方案，因为它执行的规则应该少于协作模式，从而减少了由规则引擎和日志引擎引起的开销。然而，从假阳性的角度来看，协作模式可以发出较少的假阳性。

也就是说，您应该首先尝试默认模式(自包含模式)，然后决定是否适合您。如果没有，在决定转向协作检测模式之前，我建议先使用ModSecurity规则异常特性。

值得一提的是，只有在SecRuleEngine打开时，才应该从性能的角度看到结果。

4 -规则预过滤

如果您打算编写自己的规则，特别是使用@rx操作符和非平凡的正则表达式来检查大量数据，比如响应体，您应该考虑使用@pm操作符作为预过滤器规则:

SecRule RESPONSE_BODY "@pm some_leak_patterns" "phase:4,chain,id:12345,deny"SecRule RESPONSE_BODY "@rxyour_nontrivial_regex_some_leak_patterns"

@pm操作符使用一种名为Aho-Corasick的快速多模式匹配算法，可以用来避免对入站和出站缓冲区执行regex。

另一个预过滤器的想法是:

1. 立即拒绝来自国家的ip
2. 立即拒绝有坏名声的ip
3. 立即拒绝不允许参数数量的事务
4. 立即拒绝参数长度不允许的事务。。

有了这个想法，您可以构建一小组规则，这些规则将在CRS之前运行，并将立即拒绝事务，以避免根据所有CRS规则检查它们。

5 -缓冲

ModSecurity工作，缓冲入站和出站数据到belater受规则检查。与此主题相关的主要瓶颈是缓冲响应体，原因有二:它将消耗大量RAM，并且通常放置在响应体阶段的规则非常昂贵。

也就是说，您可以考虑禁用响应体检查功能，将SecResponseBodyAccess设置为Off，并有条件地启用它，在特定情况下使用针对特定类型ecresponsebodymimetypes的responseBodyAccessOn ..

例如:

SecResponseBodyMimeType text/plain text/html text/xml

SecResponseBodyAccess Off

SecRule REQUEST_BODY|ARGS "@pm union select""phase:2,chain,id:1234,ctl:responseBodyAccess=On"

SecRule REQUEST_BODY|ARGS "@rxyour_nontrivial_regex_union_select"

SecRule RESPONSE_BODY "@pm some_leak_patterns""phase:4,chain,id:12345,deny"

SecRule RESPONSE_BODY "@rxyour_nontrivial_regex_some_leak_patterns"

6 -日志

如果你不集中注意力，日志引擎可能会成为性能杀手:

在规则中不断执行调优过程，以避免太多的误报。请记住，磁盘i/o非常昂贵，并且您不希望花费资源来记录误报。

不要使用串行记录模式。它使用锁来保护文件，这会降低性能。而是使用并发模式。

检查正在记录的审计日志部分。像k和E这样的部分可能会增加日志引擎带来的开销，因为它通常需要向磁盘写入大量数据。

不要启用生产中的调试日志。

7 - PCRE-JIT

在pcrelibrary中插入了即时编译器支持(>=8.20)。即时编译是一种优化，可以极大地加快模式匹配操作。当相同的条件被多次匹配时，效果最好。

发布8.20 21-Oct-2011——

这个版本的主要变化是包含了ZoltanHerczeg的即时编译器支持，可以通过构建PCREwith——enable-jit来访问它。8.20还修复了8.13中引入的一个不幸的bug，并消除了与Perl的一些错误和差异。

ModSecurity 2.7。x系列可以使用PCRE-JIT执行regex。从性能的角度来看，这是一个非常好的特性。要启用它，您必须使用以下配置选项编译ModSecurity:

./configure –enable-pcre-jit

确保您的PCRE库是使用JIT支持编译的(使用上面的PCRE发行说明中描述的选项)。而且modsecurityandapache必须使用相同的库版本。你可以查看intoerror log来检查它。

例如，我们发送了一个大的输入，请求体规则处理并测量了花费的时间:

JIT Disabled Phase 2 rules = 422749 usecs

JIT Enabled Phase 2 rules = 115777 usecs

看看这个例子，pcr -jit可以使规则平均速度提高75%。

8.缓存Lua虚拟机

这适用于需要在同一事务中执行多个Lua脚本的人。正常情况下，ModSecurity会创建并销毁一个运行在同一事务中的VM foreach lua脚本。你可以改变这个行为，重新编译ModSecurity与选项:

./configure –enable-lua-cache

重新编译后，ModSecurity将在整个事务期间将LuaVM保存在内存中，从而减少create/destroyVM操作造成的开销。

作为一个例子，让我们来测量在同一事务中执行的三个脚本的性能:

禁用缓存

Lua: Executing script: /etc/apache2/modsecurity/script1.lua

Lua: Script completed in 742 usec, returning: 1.

Lua: Executing script: /etc/apache2/modsecurity/script2.lua

Lua: Script completed in 517 usec, returning: 1.

Lua: Executing script: /etc/apache2/modsecurity/script3.lua

Lua: Script completed in 489 usec, returning: 1.

Total: 1748usecs

缓存启用

Lua: Executing script: /etc/apache2/modsecurity/script1.lua

Lua: Script completed in 592 usec, returning: 1.

Lua: Executing script: /etc/apache2/modsecurity/script2.lua

Lua: Script completed in 130 usec, returning: 1.

Lua: Executing script: /etc/apache2/modsecurity/script3.lua

Lua: Script completed in 101 usec, returning: 1.

Total: 823usecs

我们可以看到由VM创建/销毁操作导致的开销减少了约50%。

9.检测昂贵的规则。

如果有更多的性能问题，您可以尝试以下步骤来找到昂贵的规则，然后有机会改进它。

作为一个例子，假设我们试图检测运行在阶段2(请求体)上的昂贵规则。如果您使用的是最新的modsecurity版本(>= 2.7.4)，则可以使用所有这些特性。

创建一个规则来检测阶段2是否存在问题。假设1000微秒太多了

SecRule PERF_PHASE2 "@qt 1000" "id:1234,phase:3"

如果你有一个触发器，它表明你有昂贵的规则。因此，让我们试着检测它们是否添加了遵循规则

# All rules that spent more than 50usecs will be present inaudit log part H

SecRulePerfTime 50

# PERF_RULES is a collection that will contain all rulesthat spent more than SecRulePerfTime vallue to run.

SecRule PERF_RULES "@qt 50" "id:1,phase:3"

所以如果你有昂贵的规则，我们会看到警告:

[Tue Apr 23 17:50:26 2013] [error] [client 192.168.0.103]ModSecurity: Warning. Operator GT matched 50 at PERF_RULES:960032. [file"/etc/apache2/modsecurity/owasp-modsecurity-crs-2.2.6/base_rules/modsecurity_crs_99_perl.conf"][line "2"] [id "1"] [hostname "192.168.0.104"][uri "/acao.php"] [unique_id "UXcCIsCoAGUAACvOLqcAAAAD"]

[Tue Apr 23 17:50:26 2013] [error] [client 192.168.0.103]ModSecurity: Warning. Operator GT matched 50 at PERF_RULES:958022. [file"/etc/apache2/modsecurity/owasp-modsecurity-crs-2.2.6/base_rules/modsecurity_crs_99_perl.conf"][line "2"] [id "1"] [hostname "192.168.0.104"][uri "/acao.php"] [unique_id "UXcCIsCoAGUAACvOLqcAAAAD"]

[Tue Apr 23 17:50:26 2013] [error] [client 192.168.0.103]ModSecurity: Warning. Operator GT matched 50 at PERF_RULES:973323. [file"/etc/apache2/modsecurity/owasp-modsecurity-crs-2.2.6/base_rules/modsecurity_crs_99_perl.conf"][line "2"] [id "1"] [hostname "192.168.0.104"][uri "/acao.php"] [unique_id "UXcCIsCoAGUAACvOLqcAAAAD"]

我们可以看到，规则960032、958022和973323的执行花费了50 usecs。，但具体需要多少时间呢?您将把这些信息放入审计日志H部分:

Rules-Performance-Info: "960032=622","958022=731", "973323=109".

请查看参考手册以查看所有PERF_variables。

10 -永久存储

ModSecurity的持久存储机制是基于磁盘的。尽管如此，它并不快，好像我们可以共享内存中的数据。因此，如果可能的话，我们可以在RAMDISK中设置和定义数据目录。modsecurity中持久存储文件可能比需要的大，因为旧条目只有在过期时才会被覆盖。默认过期时间是3600秒，这通常太多了，您可能需要几分钟的数据，所以可以使用SecCollectionTimeout指令减少默认超时。

 

原文：https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/modsecurity-performance-recommendations/

本文:http://pub.intelligentx.net/modsecurity-performance-recommendations

讨论：请加入知识星球或者小红圈【首席架构师圈】

 

OWASP依赖性检查

Dependency-Check是一个软件组合分析实用程序，用于识别项目依赖关系并检查是否存在任何已知的，公开披露的漏洞。目前，支持Java和.NET;为Ruby，Node.js，Python添加了额外的实验支持，并为C / C ++构建系统（autoconf和cmake）提供了有限的支持。该工具可以作为OWASP Top 10使用已知漏洞的组件的解决方案的一部分，该漏洞以前称为OWASP Top 10 2013 A9  - 使用具有已知漏洞的组件。

介绍

OWASP Top 10 2013包含一个新条目：A9-使用具有已知漏洞的组件。依赖性检查当前可用于扫描应用程序（及其依赖库）以识别任何已知的易受攻击的组件。

Jeff Williams和Arshan Dabirsiaghi在题为“不安全库存的不幸现实”的论文中很好地描述了使用已知易受攻击组件的问题。本文的要点是，作为开发社区，我们在应用程序中包含第三方库，其中包含众所周知的已发布漏洞（例如国家漏洞数据库中的漏洞）。

Dependency-check有一个命令行界面，一个Maven插件，一个Ant任务和一个Jenkins插件。核心引擎包含一系列分析器，用于检查项目依赖性，收集有关依赖项的信息（在工具中称为证据）。然后，该证据用于标识给定依赖项的公共平台枚举（CPE）。如果标识了CPE，则会在报告中列出关联的常见漏洞和披露（CVE）条目的列表。

依赖关系检查使用NIST托管的NVD数据源自动更新自身。重要说明：数据的初始下载可能需要十分钟或更长时间。如果您每七天至少运行一次该工具，则只需要下载一个小的XML文件，以使数据的本地副本保持最新。

 

Quick Download

Version 5.1.0

• Command Line
• Ant Task
• Maven Plugin
• Gradle Plugin
• Mac Homebrew:
  
  brew update && brew install dependency-check

Version 4.0.2

• Jenkins Plugin

Other Plugins

• sbt Plugin
• lein-dependency-check

Integrations

• SonarQube Plugin
• Circle CI Orb

原文：https://www.owasp.org/index.php/OWASP_Dependency_Check

本文：

讨论：请加入知识星球【首席架构师圈】

引擎

1. 网络入侵检测系统(NIDS)引擎
2. 网络入侵防御系统(NIPS)引擎
3. 网络安全监控(NSM)引擎
4. 离线分析PCAP文件
5. 使用pcap记录器记录流量
6. Unix套接字模式，用于自动PCAP文件处理
7. 与Linux Netfilter防火墙的高级集成

操作系统支持

1. Linux
2. FreeBSD
3. OpenBSD
4. macOS / Mac OS X
5. Windows

配置

1. 配置文件-人和机器可读
2. 良好的注释和文档
3. 支持包括其他文件

TCP / IP引擎

1. Scalable flow engine
2. Full IPv6 support
3. Tunnel decoding
   • Teredo
   • IP-IP
   • IP6-IP4
   • IP4-IP6
   • GRE
4. TCP stream engine
   • tracking sessions
   • stream reassembly
   • target based stream reassembly
5. IP Defrag engine
   • target based reassembly

协议解析器

1. 支持数据包解码
   1. IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE
   2. 以太网，PPP, PPPoE, Raw, SLL, VLAN, QINQ, MPLS, ERSPAN
2. App层解码:
   1. HTTP、SSL、TLS、SMB、DCERPC、SMTP、FTP、SSH、DNS、Modbus、ENIP/CIP、DNP3、NFS、NTP、DHCP、TFTP、KRB5、IKEv2
   2. 使用Rust语言开发的新协议，用于安全快速的解码。

HTTP引擎

• Stateful HTTP parser built on libhtp
• HTTP request logger
• File identification, extraction and logging
• Per server settings — limits, personality, etc
• Keywords to match on (normalized) buffers:
  • uri and raw uri
  • headers and raw headers
  • cookie
  • user-agent
  • request body and response body
  • method, status and status code
  • host
  • request and response lines
  • decompress flash files
  • and many more

探测引擎

• Protocol keywords
• Multi-tenancy per vlan or capture device
• xbits – flowbits extension
• PCRE support
  • substring capture for logging in EVE
• fast_pattern and prefilter support
• Rule profiling
• File matching
  • file magic
  • file size
  • file name and extension
  • file MD5/SHA1/SHA256 checksum — scales up to millions of checksums
• multiple pattern matcher algorithms that can be selected
• extensive tuning options
• live rule reloads — use new rules w/o restarting Suricata
• delayed rules initialization
• Lua scripting for custom detection logic
• Hyperscan integration

输出

• Eve log, all JSON alert and event output
• Lua output scripts for generating your own output formats
• Redis support
• HTTP request logging
• TLS handshake logging
• Unified2 output — compatible with Barnyard2
• Alert fast log
• Alert debug log — for rule writers
• Traffic recording using pcap logger
• Prelude support
• drop log — netfilter style log of dropped packets in IPS mode
• syslog — alert to syslog
• stats — engine stats at fixed intervals
• File logging including MD5 checksum in JSON format
• Extracted file storing to disk, with deduplication in the v2 format
• DNS request/reply logger, including TXT data
• Signal based Log rotation
• Flow logging

报警/事件过滤

• per rule alert filtering and thresholding
• global alert filtering and thresholding
• per host/subnet thresholding and rate limiting settings

包获取

• High performance capture
  • AF_PACKET
    • experimental eBPF and XDP modes available
  • PF_RING
  • NETMAP
• Standard capture
  • PCAP
  • NFLOG (netfilter integration)
• IPS mode
  • Netfilter based on Linux (nfqueue)
    • fail open support
  • ipfw based on FreeBSD and NetBSD
  • AF_PACKET based on Linux
  • NETMAP
• Capture cards and specialized devices
  • Endace
  • Napatech
  • Tilera

多线程

完全可配置线程——从单线程到几十个线程

预煮的“runmodes”

可选CPU关联设置

使用细粒度锁定和原子操作获得最佳性能

可选锁分析

IP的声誉

• loading of large amounts host based reputation data
• matching on reputation data in the rule language using the “iprep” keyword
• live reload support
• supports CIDR ranges

工具

• Suricata-Update for easy rule update management
• Suricata-Verify for QA during development

原文:https://suricata-ids.org/features/all-features/

本文：

讨论:请加入知识星球或者小红圈【首席架构师圈】

对于企业来说，通往云的旅程并不像云提供商的营销视频所描述的那么容易和简单。这篇文章详细介绍了我们旅程中某个阶段的一些背景故事。

我们首先设置由ACM管理的ELB负载平衡器w/ certificates来处理面临HTTPS流量的客户。这些流量最终代理到运行WAF的现有web服务器，然后再代理到应用服务器。

我们从列出所有的NAT网关IP地址开始，这些地址会从我们的VPC攻击我们现有的WAF，这样如果我们现有的WAF阻塞了流量，它就不会避开作为我们NAT网关的IP。在这一点上，我们仍然会403恶意请求，但我们没有办法防火墙关闭IP完全停止他们的流量。

我们在AWS WAF上测试了几家供应商提供的一些托管规则，但说实话，我们只是觉得我们不了解这个产品，不知道如何配置它来真正阻止某些东西，等等。要完全取代我们现有的WAF，学习它们的WAF需要花费更多的时间。

我们仍然有一个问题，就是想要在一段时间内阻止恶意流量，一旦攻击被检测到，就像我们可以用我们的内部基础设施一样。我们需要在流量进入VPC之前阻止它。是时候写一些胶水代码了…

因此，让我们深入研究一下我们如何通过ModSecurity和AWS WAF进一步实现这一点。ModSecurity是可用的最流行的WAF (web应用程序防火墙)之一。Apache的ModSecurity已经存在很长时间了，最新的libmodsecurity 3也是如此。x把这个功能带到Nginx。ModSecurity提供的规则集范围从免费到付费和专业维护:

• OWASP Core Rule Set
• Atomicorp Secure Linux
• Trustwave Rule Set

我们的组织长期以来一直是Atomicorp Secure Linux (ASL)的用户，因此我们非常熟悉他们的规则集、对它们进行调优，并与他们的支持进行交互。很好的合作组织。

所以让我们来看看我们今天是如何探索事物的核心。ASL管理web服务器的Apache和ModSecurity组件。当恶意请求发生时，将一个条目输出到/var/log/httpd/audit_log，然后在/var/asl/audit/data/…下面写入一个文件，处理流程如下所示。

1. 我们的web服务器监视程序跟踪audit_log，读取单个事件记录，执行一些正则表达式解析，然后通过HTTPS将事件数据发送到AWS API网关
2. API网关将数据推送到SQS“shun”队列中。
3. 我们将“SHUN”Lambda函数连接到SQS队列，以便立即调用它。它读取有效负载(提取ELB头，等等)，与RDS数据库交互，以确定应该为给定的规则和IP的历史做什么，然后如果需要，我们更新一个绑定到黑名单规则的AWS WAF IP集。将IP放在黑名单规则的IP集中，相当于ASL运行iptables命令来避开linux防火墙级别的IP。lambda函数还将modsecurity事件有效负载的副本存储在S3中，以便以统一的方式进行进一步检查。
4. 就像标准的ASL一样，您通常希望在一段时间后解除IP阻塞。因此，我们为“unshun”发送另一个SQS队列，但是这个队列被配置为有10分钟的交付延迟。
5. 我们的“UNSHUN”lambda由SQS队列调用，然后决定是否应该解封IP地址。如果是这样，则从AWS WAF IP集中删除它。这个lambda函数还执行一些审计工作，以确保AWS WAF IP集中反映了我们希望基于跟踪数据库阻塞的IP。有时候，如果您有一批IP，并且必须一个接一个地重试，那么从IP集中删除一个IP将会失败。经过一些尝试和错误，使审计例程健壮。

所以我们用

• 1 API Gateway
• 1 S3 bucket
• 2 SQS queues
• 2 Lambda functions
• 1 RDS cluster (3 tables)
• AWS WAF
• ASL ModSecurity WAF

是一个基于云的WAF，具有业界领先的规则，可以在几毫秒内响应恶意请求，并在所有的esb中使用AWS WAF避开流量。

 

我们希望ASL能够更新他们的产品，提供与AWS WAF的直接集成来提供这个功能。在我们的理想世界，ASL会:

• 不运行本地数据库，而是所有实例都能够使用RDS Aurora MySQL数据库进行跨多个web服务器的所有事件跟踪、规则配置、IP信誉等，而无需进行glass部署。
• 通过一个简单的配置选项(当然还有分配给允许它的实例的IAM角色)管理AWS WAF IP集，将其列入黑名单
• 向SNS公开事件流信息，以便将其路由到其他各种AWS服务进行集成和分析。

我们还进行了一些实验，以构建尽可能轻的web服务器，并实现类似的阻塞功能。我们测试了下列各项:

• 从源代码编译modsecurity，在CentOS上支持JSON。这并不像你想象的那么糟糕，一旦你找到了依赖关系。
• 配置modsecurity和mlogc，直接将HTTPS PUT执行到API网关(因为它是JSON，我们可以直接进入API网关，而无需修改任何代码)

这个场景可以很好地使用OWASP核心规则集或ASL规则集，但是我们必须编写一个规则集升级引擎来自动化它，因为在那个特定的场景中我们没有完整的ASL安装。

我们做的另一件非常有效的事情是阻塞流量，其中主机头是一个数字IP地址，URL以.php结尾。这些只不过是恶意扫描器通过IP在internet上逐个查找易受攻击的PHP安装。它们会向您的服务器发出数百个请求。因此，我们现在对fire请求发出一个block，防止它们滥用我们的基础设施。

我们发现另一个有用的场景是，我们的应用程序使用403响应代码阻塞请求(这将导致生成modsecurity事件)，并包含一个HTTP响应头和一个附加的原因代码。我们的shun lambda函数看到这些事件并执行块，就像触发了实际的modsecurity规则一样。这允许我们通过利用现有的管道将应用程序级安全代码绑定到AWS WAF。

在我们的跟踪数据库中，我们也完全禁止ip在他们绊倒一定数量的块之后。这些都是持续的不良行为ip，所以我们会在很长一段时间内禁止它们。

这个管道场景的操作成本是多少?最昂贵的部分将是RDS Aurora数据库集群，但大多数AWS客户至少有一个可以利用的数据库集群。其余的API网关、SQS和Lambda处理可能是< $1/mo。编写的代码量可能少于1000行。通过WAF传输的成本将根据您正在处理的请求的数量而变化。底线是这是一个廉价的解决方案。

你能把这个解扩展到多高?AWS WAF ACL可以有10条规则，如果这些规则都是黑名单规则，那么您可以同时阻塞多达100,000 (10 x 10,000)个ip。

我们和ASL的人分享了这个想法，他们都很兴奋。我非常希望在不久的将来，我们会在ASL或OSSEC中看到对此的原生支持。

原文：https://medium.com/@jonathantew/integrating-modsecurity-with-aws-waf-f26b5af4c1a8

本文：http://pub.intelligentx.net/node/573

讨论:请加入知识星球或者小红圈【首席架构师圈】

什么是机密计算？

机密计算是一种使用安全飞地技术的方法，可以基于CPU供应商提供的安全特性创建可信执行环境（TEE）。TEE允许在CPU内进行加密/解密、内存和数据隔离，以及其他因CPU供应商而异的安全功能。安全飞地技术是机密计算的基础。

云端及其以外的硬件级隐私

数据泄露的风险是巨大且持久的。它威胁到云本身的信任、完整性和生存能力。计算机科学已经解决并克服了对存储中的静态数据和网络传输中的数据进行加密的问题。但棘手的问题仍然存在：如何保护内存中实际使用的数据和代码——这个目标似乎受到传统计算架构本身的限制。使用软件加密隐藏数据的尝试失败。计算硬件要求加密密钥在使用前解密并在内存中公开，从而使其容易受到黑客或内部人员的攻击。

作为回应，机密计算通过安全飞地（通常与TEE互换使用）创新了前所未有的硬件级体系结构安全方法。Confidential Computing特别关注使用中的数据的安全，通过保护内存来消除数据在处理过程中未加密时的致命缺陷。

消除风险：默认建立数据安全和隐私

只要使用中的数据暴露在外，敏感的个人身份信息（PII），财务或健康信息在云中仍然存在风险。安全实体一直在努力消除网络威胁，但这场恶作剧的游戏往往输给了高价值信息的泄露和过滤。需要的是，未经修改的工作负载应用程序和数据系统内存能够在任何环境中的任何地方运行，完全与内部和外部攻击隔离。

现在，机密计算解决了在安全空间内隔离数据和执行的问题。使用CPU的一部分作为保护区或飞地，可以创建一个可信执行环境（TEE）。安全的飞地是一个内存和CPU专用环境，它与给定主机上的所有其他用户和进程隔离，并且对它们不可见。在一个安全的飞地内，代码只能引用自身。

保护领地安全：一项重大进展，但部署起来很复杂

实施安全封包既复杂又昂贵，需要重新设计每个应用程序。飞地要求工程师和专家亲自参与，这将运营费用提高到不切实际的高度。每个芯片和云提供商都创建了自己的飞地解决方案：Intel SGX、Azure、AMD SEV、AWS Nitro Enclaves和Google VM。但是，这些努力无论多么值得，都为已经维护本地、混合和多云环境的客户创造了一个令人眼花缭乱的选择领域。他们必须学习各自的安全飞地技术，这会增加工程人员、时间、应用程序性能和成本方面的开销。

化解未经授权的内部人士和外部威胁

在不降低IT生产力的情况下加强安全性是一个令人困惑的安全挑战，云只会加剧这一挑战，暴露出对IT云平台提供商的员工和第三方承包商的控制有限的问题。内部人员获得主机访问权限来执行其工作，这会使他们过度暴露于主机数据。为了一个组织的安全，需要一个报复心强、注意力不集中或机会主义的员工。

但机密计算关闭了“可信的内部人员”数据暴露和外部威胁。它确保了独占的数据控制和硬件级别的数据风险最小化；数据保护是数据本身的组成部分，无需依赖薄弱的外围安全层。数据所有者控制数据在it计算、存储和通信的基础架构中存储、传输或使用的任何位置。

Anjuna软件：默认保护数据

Anjuna机密计算软件不需要重新设计应用程序或内核。客户无需担心芯片或云基础设施级别的底层TEE。应用程序和整个环境在公共云基础设施上创建的私有环境中无需修改即可工作。在几分钟内，Anjuna自动创建了一个隔离且坚固的硬件加密环境，应用程序在其中运行并扩展机密计算硬件技术，以保护使用中、传输中和静止的数据。

Anjuna的独特之处是什么？

多平台和多云支持。

企业无需锁定在一个硬件平台或云上。Anjuna支持Intel、AMD和AWS Nitro Enclaves平台以及本地Kubernetes Key管理解决方案，适用于任何环境：内部部署、混合或多云。无需修改即可跨任何飞地平台执行工作负载。

无性能影响。

使用Anjuna，所有TEE技术都预先调整了环境。因为应用程序不需要重新编码，所以在软件的隔离环境中运行的延迟最小。

在几分钟内大规模加强安全性。

在每个应用程序周围快速创建一个隔离的安全环境，以显著减少攻击面并保护应用程序，即使基础架构遭到破坏。

全方位包覆

通过硬件和软件的全栈加密，将保护范围从内存扩展到存储和网络。运行应用程序时，数据被隔离，任何其他实体都无法访问；内存与机器上的任何其他东西都是隔离的，包括操作系统。

透明数据共享。

Anjuna软件使企业能够通过认证安全飞地运行的硬件为正版，在分布式应用程序上使用硬件信任根。这证实了飞地内存对远程方的完整性。

探索这些机密计算用例

安全云迁移

将应用程序迁移到云，其安全姿态超过本地保护。Anjuna扩展了机密计算技术提供的强化安全功能，并使任何公共云成为敏感企业应用程序和数据最安全的地方。云经济和强大的安全性之间不再妥协。

数据库保护

即使是安全的数据库也会在内存中存储未加密和公开的数据。Anjuna确保数据库及其数据在隔离的私有环境的安全范围内运行。通过加密和物理方式将数据与恶意进程和不良参与者隔离，实际上消除了数据泄露或渗出的可能性。

数据保护

Anjuna提供了最强大、最完整的数据安全和隐私控制。创建、处理、存储和联网的敏感数据受到基于硬件的零信任保护的保护，在整个生命周期中保护PII免受内部人员和不良行为者的侵害。数据默认受保护，包括密钥、PII、PHI、PCI、IP、专有算法、商业机密等。

加密MPC和区块链保护

见Anjuna首席技术官兼联合创始人Yan Michalevsky，讨论区块链应用的安全飞地、加密密钥和基础设施的安全存储，以及区块链和加密货币的挑战。Anjuna为加密公司保护MPC应用程序、数字资产、数字钱包、托管交易所、NFT和AI/ML算法。

密钥管理系统（KMS）

有了机密计算，您现在可以现代化和扩展KMS功能，并禁止访问在隔离环境中运行的KMS应用程序。Anjuna与HashiCorp和Venafi合作，保护密钥和机密，甚至防止具有root访问权限的攻击者获取身份验证凭据。

强化的DevSecOps

DevSecOps管道的手动安全和审计流程可能是软件供应链受损的主要风险向量。这些缓慢的劳动密集型流程可能使迅速识别管道攻击变得困难。使用Anjuna在安全的飞地内运行应用程序可以提供基于硬件的软件组件完整性证明，从而更广泛地保护软件供应链。

本文：https://jiagoushi.pro/what-confidential-computing-and-why-it-important-…