【Bug反馈】拦截能力有点问题，很多XXS和SQL注入 and or等语句都不会拦截，IP区域封禁也是有问题不准，找了很多个地区测试都是

[wumingpc]

【Bug】拦截能力有点问题，很多XXS和SQL注入 and or等语句都不会拦截，IP区域封禁也是有问题不准，找了很多个地区测试都是，要么全拦截，要么全部不拦截

[wumingpc]

docker run --rm --net=host chaitin/blazehttp:latest /app/blazehttp -t URL
sending 100% |█████████████████████████████| (33877/33877, 102 it/s) [5m32s:0s]
总样本数量: 33877 成功: 33877 错误: 0
检出率: 27.81% (恶意样本总数: 658 , 正确拦截: 183 , 漏报放行: 475)
误报率: 0.22% (正常样本总数: 33219 , 正确放行: 33146 , 误报拦截: 73)
准确率: 98.38% (正确拦截 + 正确放行）/样本总数
平均耗时: 97.05毫秒
用这个脚本测的，目前比较流行的，检出率很低，你们可以对比参考下

[jx-sec]

【Bug】拦截能力有点问题，很多XXS和SQL注入 and or等语句都不会拦截，IP区域封禁也是有问题不准，找了很多个地区测试都是，要么全拦截，要么全部不拦截

XSS和SQL的探测语句，或者低危的语句，不会进行处置，主要基于风险和误报的平衡性进行的考虑，实战中不影响最终防护效果，要针对这些低危告警进行处置，可以加些自定义规则。至于IP区域封禁，用的是geoip的免费库，有更高准确性要求可以购买官方的商业库。

[jx-sec]

docker run --rm --net=host chaitin/blazehttp:latest /app/blazehttp -t URL
sending 100% |█████████████████████████████| (33877/33877, 102 it/s) [5m32s:0s]
总样本数量: 33877 成功: 33877 错误: 0
检出率: 27.81% (恶意样本总数: 658 , 正确拦截: 183 , 漏报放行: 475)
误报率: 0.22% (正常样本总数: 33219 , 正确放行: 33146 , 误报拦截: 73)
准确率: 98.38% (正确拦截 + 正确放行）/样本总数
平均耗时: 97.05毫秒
用这个脚本测的，目前比较流行的，检出率很低，你们可以对比参考下

防御效果的话，你可以搭个漏洞环境实际打一波看看，比如搭个SQL注入的漏洞环境，然后拿sqlmap注入看看。jxwaf设计之初就是甲方自用的waf，没有商业waf那行乱七八糟的历史包裹，核心的防御引擎也是久经考验的。至于样本POC，要达到好的效果还是挺简单的，只是其中的考虑点不一样，甲方角度没必要追求这些。

[wumingpc]

好的，我看目前很多都用这个脚本测，比较流行，最近比较忙，还没有时间用靶机测，请问新版jxwaf集成了ModSecurity吗，这个的检出率据说最高，如果能做为选项备用就更好了，应对不同的攻击，还有OWAPS这些国际比较流行的，再期待一下CF那种点击验证，它那个有问题手机很多跳不过去，基于指纹的检测目前也比较流行

[wumingpc]

请问ipset+nftables吗（现在用这个更多性能更好，还可以做简单的DDOS防御过滤）？还是ipset+iptables呢，前者现在很多系统用的都是