如机器人验证、动态加密防护等
详细描述一下动态加密防护
动态防护,是在用户浏览到的网页内容不变的情况下,将网页赋予动态特性,即使是静态页面,也会具有动态的随机性。经过WAF的网页代码都将被动态加密保护,动态防护可以实现很多效果,比如:
- 保护前端代码的隐私性
- 阻止爬虫行为
- 阻止漏洞扫描行为
- 阻止攻击利用行为
开启动态防护功能后,网站的安全性将得到显著提升。它能对 HTML 和 JavaScript 代码进行动态加密,确保每次访问时这些代码都以随机且独特的形态呈现。这种动态加密技术有效增加了攻击者自动化利用程序的难度,使爬虫和自动化攻击工具难以识别和解析网站内容。
例如 ^1:
html对比:
js脚本对比:
好的 我们研究一下
另外,还有以下几个建议:
- 专业版的WAF自定义规则是否可以通过官方提供的规则变量从而支持创建自己编写的lua脚本规则;
- 通过远程下载而创建的IP组是否可以支持定时脚本的更新,以及时更新需要的IP(如中国科学技术大学提供的IP黑名单实时更新);
- 提供类似 雷池 - CC 防护 - 等候室 的限流方案。
因为个人升级到专业版的需求就是较为全面的WAF防护功能,而专业版提供的防护功能相较应用商店提供的uuwaf似乎还有不足。而本人在社区版上使用uuwaf时遇到过不少问题(比如创建php网站必须为该网站开放一个端口,若攻击者不从域名访问而从IP:端口进行访问则无法进行防护;又如部分网站在跳转到相应目录时,会自动在域名后方添加:openresty端口导致无法正常访问等),因此希望1panel在完善相应面板功能的同时,可以逐步加强WAF的功能。