## 全局配置 ### init_by_lua_block - 类型: ``table`` - 默认值: ``{ host = "127.0.0.1", port = 3306, user = "root", password = "safe3.waf" }`` - 用法: ```lua local conf = { host = "127.0.0.1", port = 3306, user = "root", password = "safe3.waf" } ``` local conf变量位于/uuwaf/conf/uuwaf.conf中,用于配置waf要读取配置的mysql数据库连接的ip、端口号、用户名和密码。 ## 规则 这里对规则所用到的一些变量和相关函数进行说明,更多规则编写方法请大家参照WAF管理后台中的规则管理当中的众多实际例子。 ### 规则变量 #### 请求阶段变量 ##### waf.ip - 类型: ``string`` - 默认值: ``客户端访问ip`` - 用法: 只读,用于获取客户端访问ip,可以在WAF后台站点管理中配置客户端ip来源,获取方式为Socket或X-Forwarded-For中的倒序第n个ip。 ##### waf.host - 类型: ``string`` - 默认值: ``客户端访问host头`` - 用法: 只读。 ##### waf.requestLine - 类型: ``string`` - 默认值: ``原始的request line数据`` - 用法: 只读。 ##### waf.uri - 类型: ``string`` - 默认值: ``解码处理过的URI,不带参数`` - 用法: 只读。 ##### waf.method - 类型: ``string`` - 默认值: ``请求方法`` - 用法: 只读。 ##### waf.reqUri - 类型: ``string`` - 默认值: ``原始URI,带参数`` - 用法: 只读。 ##### waf.userAgent - 类型: ``string`` - 默认值: ``客户端请求的User-Agent头数据`` - 用法: 只读。 ##### waf.referer - 类型: ``string`` - 默认值: ``客户端请求的Referer头数据`` - 用法: 只读。 ##### waf.reqContentType - 类型: ``string`` - 默认值: ``客户端请求的Content-Type头数据`` - 用法: 只读。 ##### waf.XFF - 类型: ``string`` - 默认值: ``客户端请求的X-Forwarded-For头数据`` - 用法: 只读。 ##### waf.origin - 类型: ``string`` - 默认值: ``客户端请求的Origin头数据`` - 用法: 只读。 ##### waf.reqHeaders - 类型: ``table`` - 默认值: ``请求的所有header对象`` - 用法: 只读。 ##### waf.hErr - 类型: ``string`` - 默认值: ``请求header解析出错信息`` - 用法: 只读。 ##### waf.isQueryString - 类型: ``bool`` - 默认值: ``true或false`` - 用法: 只读,是否存在请求参数。 ##### waf.reqContentLength - 类型: ``number`` - 默认值: ``0`` - 用法: 只读,请求body内容长度,整数值。 ##### waf.queryString - 类型: ``table`` - 默认值: ``请求url参数,key、value`` - 用法: 只读。 ##### waf.qErr - 类型: ``string`` - 默认值: ``请求参数解析出错信息`` - 用法: 只读。 ##### waf.form - 类型: ``table`` - 默认值: ``请求body对象`` - 用法: 只读。 ##### waf.form["RAW"] - 类型: ``string`` - 默认值: ``请求body的原始数据`` - 用法: 只读。 ##### waf.form["FORM"] - 类型: ``table`` - 默认值: ``请求body参数,key、value`` - 用法: 只读,表单如: {uid="12",vid={[1]="select",[2]="a from b"}}。 ##### waf.form["FILES"] - 类型: ``table`` - 默认值: ``解析出的请求body中上传文件信息`` - 用法: 只读,文件信息如: {name={[1]="filename",[2]="file content"}}。 ##### waf.fErr - 类型: ``string`` - 默认值: ``解析请求body出错信息`` - 用法: 只读,一般是恶意畸形请求包。 ##### waf.cookies - 类型: ``table`` - 默认值: ``请求cookie参数,key、value`` - 用法: 只读。 ##### waf.cErr - 类型: ``string`` - 默认值: ``解析请求cookie出错信息`` - 用法: 只读。 #### 返回http头阶段新增变量 ##### waf.status - 类型: ``number`` - 默认值: ``返回http状态,整数值`` - 用法: 只读。 ##### waf.respHeaders - 类型: ``table`` - 默认值: ``返回的所有header对象,key、value`` - 用法: 只读。 ##### waf.respContentLength - 类型: ``number`` - 默认值: ``返回body内容长度,整数值`` - 用法: 只读。 ##### waf.respContentType - 类型: ``string`` - 默认值: ``服务端返回的Content-Type头数据`` - 用法: 只读。 #### 返回页面阶段新增变量 ##### waf.respBody - 类型: ``string`` - 默认值: ``返回body页面内容`` - 用法: 只读。 ### 规则 API #### 规则通用 API ##### waf.startWith(sstr,dstr) - 参数: ``sstr 为原字符串,dstr 为查找字符串`` - 功能: 判断字符串 sstr 是否以 dstr 开头 - 返回值: ``true 或 false`` ##### waf.endWith(sstr,dstr) - 参数: ``sstr 为原字符串,dstr 为查找字符串`` - 功能: 判断字符串 sstr 是否以 dstr 结尾 - 返回值: ``true 或 false`` ##### waf.toLower(sstr) - 参数: ``sstr 为原字符串`` - 功能: 将字符串 sstr 转化为小写 - 返回值: ``sstr 小写`` ##### waf.contains(sstr,dstr) - 参数: ``sstr 为原字符串,dstr 为查找字符串`` - 功能: 判断字符串 sstr 是否在字符串 dstr - 返回值: ``true 或 false`` ##### waf.rgxMatch(sstr,pat,ext) - 参数: ``sstr 为原字符串,pat 为正则表达式,ext 为正则属性`` - 功能: 在字符串 sstr 中匹配正则表达式 pat - 返回值: ``true 或 false`` ##### waf.kvFilter(v,match,valOnly) - 参数: ``v 为要匹配对象,match 为匹配函数,valOnly 为 true 则只匹配 value`` - 功能: 用于匹配 cookie、queryString 等 key,value 键值对数据,在对象 v 中用 match 函 数匹配内容 - 返回值: ``true,匹配内容或 false,nil`` ##### waf.knFilter(v,match,p) - 参数: ``v 为要匹配对象,match 为匹配函数,p 为 1 时匹配上传文件名,为 0 时文件内容`` - 功能: 用于过滤上传文件信息,在对象 v 中用 match 函数匹配内容 - 返回值: ``true,匹配内容或 false,nil`` ##### waf.jsonFilter(v, match,parsed,valOnly) - 参数: ``v 为要匹配对象,match 为匹配函数,parsed 为 false 时解析类型为字符串 v 值,为 true 时解析类型为 table 的 v 值, valOnly 为 true 则只匹配 value`` - 功能: 用于遍历过滤请求中的 json 数据,在对象 v 中用 match 函数匹配内容 - 返回值: ``true,匹配内容或 false,nil`` ##### waf.base64Decode(str) - 参数: ``str 为要解码的 base64 字符串`` - 功能: 用于解码 base64 数据为明文数据 - 返回值: ``明文字符串或 nil`` ##### waf.checkSQLI(str) - 参数: ``str 为要检测的字符串`` - 功能: 基于语义引擎检测 sql 注入攻击 - 返回值: ``true 或 false`` ##### waf.checkRCE(str) - 参数: ``str 为要检测的字符串`` - 功能: 基于语义引擎检测命令注入攻击 - 返回值: ``true 或 false`` ##### waf.checkPT(str) - 参数: ``str 为要检测的字符串`` - 功能: 基于语义引擎检测路径遍历攻击 - 返回值: ``true 或 false`` ##### waf.strCounter(sstr,dstr) - 参数: ``sstr 为原字符串,dstr 为查找字符串`` - 功能: 计算字符串 dstr 在 sstr 中出现的次数 - 返回值: ``整数`` ##### waf.pmMatch(sstr,dict) - 参数: ``sstr 为原字符串,dict 为查找字典,以 lua 表的形式,如:{“aaa”, “bbb”, “ccc”}`` - 功能: 高效多模匹配多个字符串,发现其中一个字符串立即返回 - 返回值: ``true,字典中的字符串或 false,nil`` ##### waf.urlDecode(sstr) - 参数: ``sstr 为原字符串`` - 功能: 将 sstr 进行 url 解码还原成字符串 - 返回值: ``解码后的字符串`` ##### waf.htmlEntityDecode(sstr) - 参数: ``sstr 为原字符串`` - 功能: 将字符串 sstr 进行 html 实体解码 - 返回值: ``解码后的字符串`` ##### waf.hexDecode(sstr) - 参数: ``sstr 为原字符串`` - 功能: 将字符串 sstr 进行 hex 解码 - 返回值: ``解码后的字符串``