waf編譯c文件

A. 2022年五大免費或開源waf

2022年，WEB應用防火牆（WAF）在網路安全中扮演核心角色，尤其在新冠疫情和Log4j漏洞的背景下，其重要性日益凸顯。然而，大多數商業WAF都為閉源產品，市場上原創開源WAF數量不多，真正可用於實戰部署的免費WAF更是稀缺。本文整理了五款原創的開源或免費WAF，幫助用戶了解其特性與應用場景。
首推HTTPWAF，這是一款具備Web管理後台的免費WAF，支持直接部署在Web伺服器或獨立保護後端伺服器，兼容HTTP 2.0標准。使用簡單，Linux系統下僅需1分鍾即可完成部署，所有功能由用戶自行控制。但需注意，開發團隊出於安全考量，不建議聯網操作，規則升級與維護需手動完成。
OpenResty系列則基於nginx+lua腳本語言，形成一個強大的Web平台。這一系列的WAF，如unixhot、loveshell、openwaf、verynginx等，具備速度快與lua語言編寫過濾腳本簡單的優勢。但因nginx為C語言編寫，二次修改技術復雜，且多數產品為商業收費，完整實戰部署的開源產品較少。
ModSecurity作為開源WAF的先驅，是跨平台的Web應用防火牆引擎，適用於Apache、IIS和Nginx伺服器。其規則集由安全社區OWASP維護，尤其以OWASP的ModSecurity核心規則集（CRS）著稱，對保護應用安全具有顯著效果。然而，某些環境下存在誤報問題。
Shieldon是一款基於php的Web應用防火牆，提供美觀實用的控制面板，便於管理防火牆規則和安全設置。其優點在於專家級的PHP開發者能夠在10分鍾內完成部署，並易於二次開發。不過，Shieldon的速度相對較慢，無法與使用C語言編寫的防火牆相比。
AIHTTPS是hiHTTPS的升級版，不僅兼容ModSecurity規則，還通過機器學習自主生成對抗規則，以防禦包括惡意掃描、CC攻擊、DDoS攻擊、SQL注入、XSS等在內的多種攻擊。其商業版開源，是當前商業化開源程度最高的WAF產品。
綜上所述，市面上的開源WAF距離產品化尚有距離，無法直接實戰部署。免費WAF雖存在，但多非開源。AIHTTPS在開源與商業化方面表現出色，是目前最全面的免費開源WAF產品。隨著技術的發展，WAF有望成為數字經濟安全基礎實施的核心。

B. WebShell基礎詳解（特點、原理、分類、工具）

一、WebShell簡介

Webshell是以asp、php、jsp或cgi等網頁文件形式存在的一種代碼執行環境，也可以將其稱做為一種網頁後門。其中，「web」的含義是需要伺服器開放web服務，「shell」的含義是取得對伺服器某種程度上操作許可權。Webshell常常被稱為入侵者通過網站埠對網站伺服器的某種程度上操作的許可權。由於webshell其大多是以動態腳本的形式出現，也有人稱之為網站的後門工具。

黑客在入侵了一個網站後，通常會將asp或php後門文件與網站目錄下正常的網頁文件混在一起，然後就可以使用瀏覽器來訪問asp或者php後門，得到一個命令執行環境，以達到控制網站伺服器的目的。

內存馬：

內存馬是無文件攻擊的一種常用手段。傳統的Webshell都是基於文件類型的，但內存馬是在內存中寫入惡意後門和木馬並執行，不會有文件落地，給檢測帶來巨大難度。PHP內存馬也叫做PHP不死馬、不死僵屍，在線下AWD中是常用手段之一。

五、WebShell管理工具

1. 中國菜刀（Chopper）

   一款專業的網站管理軟體，用途廣泛，使用方便，小巧實用。

   官方網站：http://www.maicai.com/

2. 中國蟻劍（AntSword）

   一款開源的跨平台網站管理工具，面向合法授權的滲透測試安全人員以及網站管理員。

   項目地址：https://github.com/AntSwordProject/antSword

   功能強大，支持流量混淆繞過WAF，並有多款實用插件。

3. 冰蠍(Behinder)

   基於Java開發的動態二進制加密通信流量的新型Webshell客戶端。

   由於通信流量被加密，使用傳統的WAF、IDS等設備難以檢測。

   項目地址：GitHub - rebeyond/Behinder

4. 哥斯拉(Godzilla)

   繼冰蠍之後又一款於Java開發的加密通信流量的新型Webshell客戶端。

   內置多種有效載荷、加密器、腳本後綴和插件。

   項目地址：GitHub - BeichenDream/Godzilla

5. weevely

   Linux系統自帶的菜刀，使用python編寫的webshell工具。

   集webshell生成和連接於一身，採用c/s模式構建。

   具有很好的隱蔽性，集多種功能於一身。

這些工具各有特點，選擇時需要根據具體需求和場景進行權衡。同時，合法使用這些工具進行滲透測試或網站管理時，必須確保已獲得相關授權。