HsWaf | 自用Waf分享

0x00 BackGround
近来，因为某些个人原因，需要一个Waf。测试了很多开源或不开源的Waf，总归是不如我意。这里就不引战般地介绍具体有哪些了。总之是感觉有太多太多可以扣的细节都没人扣，以至于随便在网上找一个小工具就能绕过。于是乎就有了这个项目。本着独乐乐不如众乐乐的原则，也分享给坛友用用。
0x01 概述
HsWaf 是一个基于规则和 AI 的 Web 应用防火墙（WAF），支持并且强制HTTPS，支持自动 HTTPS 证书签发（使用 ACME 协议的 Let's Encrypt）。配置文件采用 JSON 格式，主要包含站点列表（sites）、规则配置（rule）以及全局参数。

核心功能：

HTTPS 代理和自动证书管理（独占 80 和 443 端口）。
JA3 指纹检查（严格来说不是标准的JA3，有我的小巧思在里面）。
传统规则防护（防 SQL 注入、XSS 等）。
AI 辅助防护。
IP 速率限制和全自动黑名单。
维护模式（俗称拔网线模式）。


注意事项：

不要在外层套用其他反向代理（如 Nginx），以避免破坏 JA3 检查。
证书签发仅在程序启动时进行；重启会清除本地 IP 记录。
规则是给那些陈年老洞根本补不完的系统准备的，误判只比MobSec少一点；测试时建议按需启用规则。
它毕竟是我自用的，一来没做太多严谨的测试，可能边边角角的有一些bug（非常非常罕见的轻微内存泄露，差不多一个星期几MB的那种）误判（比如说某些苹果设备）就没修；有一些功能设计的也不怎么全（通配符啊路径重写啊）。


0x02 配置文件介绍
提供的下载文件里面是没有说明文档的，主要是因为我懒。写这里了：
站点列表（sites）
sites 是一个数组，每个元素代表一个站点配置。HsWaf 会根据 host_lower 匹配域名，并代理到指定的上游服务器（up_stream）。
站点配置对象（每个站点）

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-288579.htm