大家还记得啊D吗 —— 当年啊D的注入工具可是盛行一时,实在是渗透测试自学教学必备工具。来一张图怀念一下逝去的时光:
啊D是圈内元老、资深安全专家、啊D系列工具作者,据情报显示这些年他一直隐居在深圳坪山,是土著。
最近我喊他来爬山,他说等他改完bug先。这时我才知道啊D这十几年来一个人一直在持续维护他开发的免费安全软件 —— D盾防火墙。我记得D盾貌似在我读大学的时候就有了,一晃这么多年了,居然还在跟新。我也写过安全软件,也见惯了各种软件作者由于各种原因放弃维护,深知免费软件作者不容易,啊D能够一直维护这款软件实在让人佩服。
因为D盾没有统计,所以啊D自己也不知道用户量。不过从一些白帽子写的技术文章讲如何绕过D盾就可以从侧面看出其用户量不少。
印象里这种免费安全软件一般都赚不到什么钱,大型企业有能力自己研发,中小企业又不愿意投入。跟啊D一聊,果然如此:D盾是免费的,主要靠一些定制化需求和应急响应服务收点钱 —— 大部分用户还是不付费的,付费的也不会付太多。这么多年能够支撑啊D一直维护D盾的因素一个是深圳土著,另一个就是对安全技术的热爱了。
啊D看我比较闲,让我体验下D盾,安排。
D盾与反向代理网关模式的uuWAF不同,它是安装到Windows系统的软件,有WAF的功能,有主机防火墙功能,还能查杀WebShell以及内存马 —— 可以看作主机模式的WAF加主机防火墙加轻量级HIDS。
这些功能都是这些年在实战中遇到的需求,很好很强大,不过在我看来D盾最大的缺点就是只支持Windows下的IIS,这个感觉会限制D盾的发展,毕竟使用IIS的系统不多了。
来看看Netcraft统计的最新Web Server数据[注],这几年IIS已经迅速下滑排到后面去了,给人一种日薄西山的感觉:
所以我也建议D盾要支持TOP级的Web Server,如有精力最好出个Linux版本,超过一定数量规模可提供企业版,企业版付费会有一些高级功能如统一的管理端Server、态势感知报表、自定义规则、提供API接口等。能够用好白帽子社区来找bug加规则就更好了。
大家也可以体验下D盾。如果你恰好使用了Windows Server,又恰好是IIS,又恰好有安全防护需求,那么我推荐D盾,免费又好用,有问题有bug可以提给啊D( https://weibo.com/u/1747303362 ),他人很好的。
9月1日也是经典的端口扫描器nmap发布二十五周年,希望D盾也像nmap一样持续发展几十年。
长江后浪推前浪,随着啊D SQL注入、HDSI、Pangolin、Safe3 SQL injector这些老一代的工具逐渐淡出我们的视线,但是也有新生的力量Goby、xray、BugScan,还有lijiejie即将发布的EsayPen,这里也正式敦促下liejiejie。
在下面这个公众号可以收到liejiejie的系列软件发布信息和经验。
[注] August 2022 Web Server Survey,https://news.netcraft.com/archives/2022/08/26/august-2022-web-server-survey.html