如何解决在 Spring Cloud Gateway 上实现 ModSecurity 相同的处理
我正在做一个项目,它使用 Spring Cloud Gateway 实现与 ModSecurity 相同的功能。 我们也旨在实现读取核心规则集的功能。 换句话说,我们的目标是 Java 版本的 Web 应用程序防火墙。
但是,我遇到了以下问题。
- 我找不到关于 ModSecurity 类和方法规范的任何文档。 (API 参考等文档)
- ModSecurity 是用面向对象的编程编写的,但我不明白如何用 Spring Cloud Gateway 的响应式编程来代替它。
问题
- 是否可以获得有关每个 ModSecurity 类和方法的规范的文档?
- 在 Spring Cloud Gateway 中创建 WAF 时,是否有可能有用的项目或书籍?
解决方法
OWASP CRS dev-on-duty here.
您要求的文档可能不存在。但是,有几家商业公司重新实现了运行 OWASP CRS 所需的 Core ModSecurity 功能。我认为这是要走的路。
该功能可能最好在 ModSecurity 手册(-> Feisty Duck 网站)中指定。
同样有希望的事情是研究 msc_pyparser (-> GitHub) 一两天。在概念层面上,该库允许您读取 ModSec 规则,将其转置,然后再次导出。因此,您可以将规则转换为 Java 代码并创建输入 (/output) 验证过滤器。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。