很多小伙伴都在微信上问我：搞安全开发，到底开发个啥，都是用什么编程语言？今天就来详细说说这个话题，我打算从安全公司研发的产品这个角度来切入，看看都有哪些产品，以及都用到哪些语言。安全公司的产品研发，主要是下面这些东西，下面分别来说一下。WAF（Web网站应用防火墙）数据库网关防火墙、IDS、IPSNTA（网络流量分析）SIEM（安全事件分析

WAF（WebApplicationFirewall），中文名叫做“Web应用防火墙”WAF的定义是这样的：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,通过从上面对WAF的定义中，我们可以很清晰地了解到：WAF是一种工作在应用层的、通过特定的安全策略来专门为Web应用提供安全防护的产品。

个人简介李炳毅：百度资深运维工程师，2010年加入百度，目前是百度Golang委员会成员&CodeMaster，工作主要集中在百度网络接入方向，曾负责和参与防攻击系统BDS、应用层防火墙WAF、7层流量代理C语言研发和Go语言重构等网络接入相关工作。大会主题《go在百度BFE的应用》主题

0x00前言ngx\_lua\_waf是一款基于ngx\_lua的web应用防火墙，使用简单，高性能、轻量级。默认防御规则在wafconf目录中，摘录几条核心的SQL注入防御规则：select.(from|limit)(?:(union(.?)select))(?:from\Winformation_schema\W)这边

利用WAF为Web应用提供防护，在这里，我们以Naxsi为例来演示下如何利用WAF来为其后端的Web应用提供安全防护。Naxsi是一个开放源代码、高效、低维护规则的Nginxweb应用防火墙模块。Naxsi的主要目标是帮助人们加固他们的web应用程序，以抵御SQL注入、跨站脚本、跨域伪造请求、本地和远程文件包含漏洞。（WebApplicationFir

通常情况下，网站访问并不是简单地从用户的浏览器直达服务器，中间可能部署有CDN、WAF、高防。例如，采用这样的架构：“用户CDN/WAF/高防源站服务器”。那么，在经过多层代理之后，服务器如何获取发起请求的真实客户端IP呢？一个透明的代理服务器在把用户的HTTP请求转到下一环节的服务器时，会在HTTP的头部中加入一条“XForwarded

近日，由工业和信息化部网络安全管理局指导，中国信息通信研究院主办的首届信息通信软件供应链安全社区成员大会顺利召开。大会以“强化软件供应链安全治理助力信息通信业健康发展”为主题，旨在探索软件供应链安全治理模式，从根源上防范风险，促使安全治理工作得到真正落实并收获成效。大会现场公布了4类优秀成果评选结果，天翼云基于边缘云WAF实现API安全管理实践成果获评“优

随着数字化建设的推进，关键信息基础设施逐渐成为国家重要的战略资源，天翼云作为云计算的国家队与排头兵，一直以安全作为发展核心，深耕云原生技术，构建端到端安全，致力于突破关键核心技术，提高国产化能力，掌握核心竞争力，捍卫企业云上安全。打造云基础设施安全基石天翼云2431X的全国云网资源布局的每个资源池都配备了防火墙、WAF、AntiDDoS等高级安全组件，

12月9日，由中国信息通信研究院主办的“墙墙联合——云上防火墙技术沙龙”在线上顺利举行，研发专家吴雷分享了新标准、新需求下云Web应用防火墙（云WAF）的发展方向，并介绍了天翼云Web应用防火墙（原生版）的功能及特性。会上，信通院云WAF评估结果发布，天翼