از حفظ قوانین بی پایان Regex در WAF های سنتی خسته شده اید؟ ملاقات خط ساحلی، یک فایروال برنامه وب رایگان و منبع باز با یک موتور تشخیص معنایی ، حفاظت از پویا و بیش از 16.4k ستاره Githubبشر این برای حملات در دنیای واقعی ساخته شده است-و این رایگان و منبع باز است.
protection Protection Dynamic: هر بار جبهه خود را خرد کنید
Safeline Can به صورت پویا HTML و JS را تحت الشعاع قرار دهید در هر صفحه بار ، کد منبع خود را برای خزنده ها و رباتها غیرقابل خواندن می کند.
-
/admin/loginتبدیل به یک مسیر رمزگذاری شده تصادفی مانند/a8c9f1وت هر نوع تازه کردن را تغییر می دهد - کاربران واقعی هیچ تفاوتی نمی بینند. خزنده ها می بینند … هیچی.
🧪 نتیجه تست Burpsuite:
خزنده از نمایه سازی مسدود شده است. مرورگر به طور عادی بارگیری می شود. تأخیر اضافی: 1 میلی متر.
💡 می توانید این را به صورت انتخابی اعمال کنید:
- فقط مسیرهای مدیر را رمزگذاری کنید
- پرونده های استاتیک سفید (CSS/JS) برای جلوگیری از مشکلات طرح
🤖 مسدود کردن ربات که در واقع کار می کند
Safeline به عناوین عامل کاربر متکی نیست. این رفتار مرورگر را تأیید می کند:
- اعدام JS
- اثر انگشت
- حرکت موش
🚫 رباتها شکست می خورند.
✅ انسان یک بار می گذرد ، سپس آزادانه ادامه دهید.
🧪 آزمایش شده: یک اسکریپت پایتون پس از 3 درخواست مسدود شد. IP به مدت 30 دقیقه قفل شد. هیچ Captcha لازم نیست.
می توانید آستانه ها را تغییر داده و صفحه قفل را سفارشی کنید.
🧠 تشخیص معنایی: نه فقط مطابق با قانون
Safeline از امضاهای استاتیک استفاده نمی کند. من می فهمد که بار در تلاش است انجام دهدبشر
- تزریق SQL مانند
1 AND 1=1، حتی اگر مبهم باشد - XSS را از طریق زمینه آگاه DOM مسدود می کند ، نه تطبیق الگوی
🧪 معیار:
- 33،669 درخواست آزمایش شده
- 575 بار مخرب
- ✅ نرخ تشخیص: 71.65 ٪
- ❌ مثبت کاذب: 0.07 ٪
- ⚡ تأخیر AVG: 1ms ،> 2000 tps در هر هسته
🧱 امنیت برای دسترسی به پانل مدیر
- RBAC: فقط مهندسین کنترل کامل را به OPS بدهید.
- 2FA: مبتنی بر TOTP ، با تأیید کننده مایکروسافت کار می کند
-
CLI Fallback:
docker exec safeline-mgt resetadminاگر 2FA را از دست بدهید
🔬 آزمایشگاه دنیای واقعی: وب + Safeline
docker run -d -p 8080:8080 registry.cn-shanghai.aliyuncs.com/kubesec/webgoat:v2023.8
سپس آن را از طریق Safeline در زیر معکوس کنید webgoat.testبشر
🧪 حملات آزمایشی
- SQLI:
?id=1 UNION SELECT * FROM users→ مسدود شده - XSS:
نکات عیب یابی
| صادر کردن | ثابت کردن |
|---|---|
| 502 دروازه بد | پیکربندی بالادست و شبکه کانتینر را بررسی کنید |
| UI شکسته | js/cs static statelist از رمزگذاری |
| IP اشتباه در سیاهههای مربوط | CDN IPS را به عنوان اعتماد به سیستم IP های مهاجم واقعی تنظیم کنید |
🛠 سخت افزار: 2C/4G برای تأخیر <1ms توصیه می شود.
thoughts افکار نهایی
Safeline فقط WAF مبتنی بر Regex نیست. این است:
- منبع آزاد و باز
- بدون نگهداری امضا
- تشخیص معنایی که کار می کند
- دستگیره 2000+ TPS/CORE
اگر یک برنامه خود میزبان یا CTF Challenge را اجرا می کنید ، این WAF است که باید امتحان کنید.
🔗 پیوندها
