Safe3真名石祖文,圈内老人、资深安全专家、《大型互联网企业安全架构》作者,他曾写过一系列风靡安全圈的安全软件,如SQL注入安全测试工具、网站漏洞扫描、WAF、网站DDoS防火墙……
来看一个熟悉的界面,年龄大一点的同志一定用过:
时光荏苒,现在Safe3又创业了,发布试用的第一个产品就是WAF(uuWAF),中文名叫“南墙”,应该取自“不撞南墙不回头”。
当年马杰创立的安全宝应该是业界第一个提出并实践云WAF的安全厂商,思路比较新颖。记得当时我还专门分析过安全宝云WAF的架构并且fuzz到一个特殊字符绕过bug。Safe3正是安全宝的首席安全科学家。时任安全宝产品副总裁的道哥还搞了一个WAF绕过众测,有个奖品很猥琐,大家还记得吗?
Safe3看我比较闲,就给了我一个版本体验,安排。
装个虚拟机先。现在Windows10/11自带了虚拟机Hyper-V,不用再装VMWare或者Virtual PC了,很方便。话说Windows11也支持运行安卓APP了,感觉微软有点无聊啊。
按照南墙WAF安装手册操作,一通操作下来可累死我了,下次求一键安装。安装手册里面也暴露了Safe3的公司名——“有安科技”,话说现在好多创业公司命名格式都是X安。
在测试环境粗略用了下,尚没有体验到语义分析和智能0day防御的强大。不过它的规则库可以自定义,复杂的场景可以通过lua代码搞定。这个功能很好,用户对WAF的一个核心需求就是要根据业务场景定制化规则(比如用于定向拦截),且在必要时候(如0day爆发时)能自己迅速更新规则。
来个首页态势感知图:
经过Safe3授权,现发布南墙WAF测试版,下载地址:https://lake2.0x54.cn/software/WAF.safe3.zip ,md5哈希733999d5e12cdcee2b0264e3155a545e,有兴趣的同志可以体验下,有问题有bug可以找他。
这种软件模式肯定只能是普通版免费企业版收费,我觉得在国内大环境下这种卖软件的方式很难赚到钱,特别又是安全软件。对于大型企业来说,其业务体量大定制化要求高,更愿意自己研发;对于大部分中小型企业,一部分完全没有安全意识,另一部分说到安全都很重视,就是不愿意花钱。当然了,Safe3创业肯定有杀手锏,预祝Safe3在新的阶段取得重大胜利。
下面是Safe3的书《大型互联网企业安全架构》的购买链接,我只是试试微信公众号的返佣商品广告。
点击“原文链接”可以访问有安科技网址(www.uusec.com),可以看到他们即将发布的三款产品:WAF、EDR、漏洞扫描器。