nginx利用lua语言实现软waf的示例代码

首先下载nginx的安装包：

wget http://nginx.org/download/nginx-1.14.0.tar.gz

这里下载的是nginx1.14的包，感觉安装包太老的话可以去官网下载新的版本：

官网地址：http://nginx.org/

但是我这里测试使用的不是nginx的安装包，而是使用的淘宝开发师提供的OpenResty；

其官方网站OpenResty® – Open source我们读起来是非常的方便。OpenResty是一个基于Nginx与 Lua 的高性能 Web 平台，其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。

用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。所以本身OpenResty内部就已经集成了Nginx和Lua，所以我们使用起来会更加方便。

下载OpenResty：

wget https://openresty.org/download/openresty-1.19.3.2.tar.gz

解压缩:

tar -zxvf openresty-1.19.3.2.tar.gz && cd openresty-1.19.3.2

编译安装：

./configure && make && make install

进入OpenResty的目录，找到nginx：

cd /usr/local/openresty/nginx/

在conf目录下的nginx.conf添加如下内容：

location /lua{
default_type \’text/html\’;
content_by_lua \’ngx.say(\”<h1>HELLO,world</h1>\”)\’;
}

通过浏览器访问测试：

测试nginx没问题后，就开始本次实验：

利用XSS检测lua脚本

这里我写了一个简单XSS检测，直接上代码

local function has_xss(payload)
if payload and type(payload) == \”string\” then
if string.find(payload, \”<script>\”) or string.find(payload, \”javascript:\”) or string.find(payload, \”onerror=\”) then
return true
end
end
return false
end

ngx.req.read_body()
local args = ngx.req.get_uri_args()

for key, val in pairs(args) do
if has_xss(val) then
ngx.exit(ngx.HTTP_FORBIDDEN)
end
end

可以看到，我写了一个xss的检测函数has_xss，当然规则比较简单。同时接下来，用了ngx.req.read_body()函数，当你需要处理HTTP请求时，必须优先调用该函数，随后才可以获取HTTP的请求数据。

这里调用过该函数后，我取到了uri的参数数据。当然也可以通过ngx.req.get_post_args()或者ngx.req.get_body_data()来分别获取post参数和请求数据。除此之外，更多的用法函数可以参考最上方的文档进行查询。

最后就是循环遍历参数并执行has_xss进行判断，如果发现命中匹配字符，则返回FORBIDDEN也就是403状态码。

挂载Lua

这里我的lua脚本路径为：/home/gsl/xss_check.lua

打开nginx的配置文件:

/usr/local/openresty/nginx/conf/nginx.conf

在配置文件中添加location:

error_page 403 /attack_403;
location = /attack_403 {
try_files $uri $uri/ /attack_403.html;
internal;
}

location / {
access_by_lua_file /home/ssremex/nginx_lua/xss_check.lua;
try_files $uri $uri/ /index.html;
}
location /lua {
default_type \”text/html\”;
content_by_lua \’ngx.say(\”<h1>hello world</h1>\”)\’;
}