雷池社区版发布动态防护能力

雷池是长亭科技耗时 10 年倾情打造的 WAF，核心检测能力由智能语义分析算法驱动，在专业领域内享有极高的认可度。

雷池社区版是雷池企业级产品的衍生项目，在雷池企业版的基础上削减了面向大型专业企业的复杂功能，降低了硬件要求，简化了使用方式，专为社区打造的免费 WAF 产品。

官网：https://waf-ce.chaitin.cn/

GitHub：https://github.com/chaitin/SafeLine

好久没发公告，给大家汇报一下雷池社区的近况

• 社区版已经发布 400 天了

  GitHub 仓库的 star 也快突破了 10000 了

  累计装机量超过 13 万了

  每天清洗 HTTP 请求超过 300 亿次了

  付费用户越来越多，每时每刻都在爆金币

总之就是发展顺利，好事多多，团队里的小姑娘小伙计们都非常兴奋、干劲十足。

同时我们还有另外一个好消息要告诉大家，那就是雷池社区版 6.0 终于要发布了，这次大版本升级，我们从雷池企业版中移植了 “动态防护” 的部分能力，选择对社区开放。

动态防护

所谓动态防护，是在用户浏览到的网页内容不变的情况下，将网页赋予动态特性，即使是静态页面，也会具有动态的随机性。

雷池作为反向代理程序，经过雷池的网页代码都将被动态加密保护，动态防护可以实现很多效果，比如：

• 保护前端代码的隐私性

• 阻止爬虫行为

• 阻止漏洞扫描行为

• 阻止攻击利用行为

• 。。。

动态防护案例-html

下图是网站中正常 html 的样子：

经过雷池的动态防护之后，上文中的 html 代码将会被加密成下图的样子：

动态防护案例-javascript

再来看另一个例子，下图是网站中正常 javascript 的样子：

经过雷池的动态防护之后，上文中的 javascript 代码将会被加密成下图的样子：

开启动态防护后，网站中的 html 和 javascript 代码在每次访问时都会被动态加密为不同的随机形态，可以有效阻止爬虫和攻击自动化利用程序。

动态防护案例-爬虫

假设有一个爬虫，他的任务是批量爬取目标网站的关键信息。通常爬虫的设计思路是：

1. 找到存在关键信息的网页，如http://ct.cn/info?id=666

2. 自动化发送请求，获取网页内容

3. 解析 html 结构，提取网页中的关键信息

4. 遍历 id，获取更多信息

开启动态防护后，网页结构将被彻底随机打乱，爬虫的行为将无法进行。

动态防护案例-Web 漏洞扫描器

假设有一个 Web 漏洞扫描器，扫描原理通常是这样的：

1. 检测 SQL 注入漏洞，需要判断网页在 1=1 和 1=2 条件时响应内容的一致性

2. 检测 RCE 漏洞，需要判断网页响应内容是否包含 payload 中的特征字符。

3. 检测信息泄露，需要判断网页响应内容是否包含报错信息或敏感信息。

4. 暴力破解，需要判断登录成功和登录失败时响应内容的一致性

5. 等等等。。。

开启动态防护后，网页的响应内容在每次访问时都会被动态加密为不同的随机形态，干扰扫描器的判断逻辑，使漏洞扫描行为无法进行。

雷池社区版 6.0.0 的动态防护功能暂时还是 Beta 版，雷池研发团队近期会持续更新，快速迭代完善相关能力，欢迎大家试用，也感谢社区用户一直以来的支持。