什么是OWASP？

OWASP是一个全球性的非营利组织，致力于提高关于Web应用程序安全的意识和对策。OWASP核心规则集是由OWASP组织所提供的一系列安全规则，用于保护Web应用程序。

怎样在网站上布置OWASP 核心规则集？

要在网站上使用OWASP核心规则集，建议按照以下步骤进行：

1. 下载OWASP核心规则集。您可以从OWASP的官方网站上获取最新的规则集，下载到本地进行使用。

2. 安装ModSecurity。ModSecurity是一个常用的开源Web应用程序防火墙，可以保护您的网站免受常见的攻击，如SQL注入、跨站脚本等。

3. 将OWASP核心规则集导入到ModSecurity中。您需要将下载的OWASP核心规则集文件导入到ModSecurity中，并确保它们已经启用了。

4. 配置ModSecurity。您需要根据您的站点需求来配置ModSecurity，以确保OWASP核心规则集能够生效。

5. 测试您的站点。在将OWASP核心规则集应用于您的站点之前，请务必进行测试，确保您的站点功能正常，并且可以有效地防止攻击。

需要注意的是，对于不同的Web应用程序，具体的配置和使用方法可能会有所不同。因此，建议在实际操作之前，建议仔细阅读OWASP和ModSecurity的官方文档，并咨询安全专家的建议。

听起来是不是就是一个头疼的工程呢？其实，这里有一个非常简单的方式就可以配置好OWASP 核心规则集？那就是利用京东云星盾安全加速产品来完成OWASP的配置。具体操作如下：

● 进入京东云星盾控制台-安全规则-托管规则

● 点开OWASP核心规则集

在这里你可以看到各类的OWASP的规则，根据各组的描述和自己的需求，可以在右边的开启/关闭选项进行操作。

● 当选择验证码挑战访问时，页面会更根据触发的规则，进行页面验证码输入挑战，才能进行继续浏览。

安全加速的应用防火墙功能可检查 Web 流量以识别可疑活动。它能够根据您指定的规则集自动过滤非法流量。查看基于 GET 和 POST 的 HTTP 请求并应用规则集（如涵盖 OWASP Top 10 的漏洞的核心规则集），确定阻止、挑战或予以通过的流量。也可以阻止垃圾评论、跨站点脚本攻击和 SQL 注入。

WAF的作用是检查对您网站的HTTP请求，通过检查GET和POST请求，应用规则来帮助过滤掉访问中的非法流量。如果安全加速确定了可疑用户行为，则WAF将通过页面“挑战”此访问者， 此页面需要访问者成功提交验证码才可以继续进行操作。如果挑战失败，则该操作将会被拦截。这意味着 WAF将阻止被识别的任何非法流量到达源站服务器。

可以通过设置规则集的敏感程度，确定强制执行安全策略的严格程度。

确定适合站点的设置取决于多种因素。比如，如果您的企业业务包括大型文件上传到源服务器，则将敏感度以及安全级别降低更为合适。 从安全防御角度，上传大文件是一种常见的攻击方式，将会触发防火墙规则。

如果您需要站点的某些URL绕过防火墙规则，我们建议您设置页面规则，用来排除避免受到WAF的影响。

OWASP Top 核心规则

核心规则集主要覆盖OWASP Top10的攻击行为。可通过防护规则等级设置，支持级别为：高、中、低、关闭。

每个防护等级对应不同分数，SCDN根据用户请求触发的规则为每个请求打分。

请求的分数评估完成后，会将最终分数与为配置的防护规则等级进行比较，如果分数超过了规则等级，请求将会被相应的动作进行处理。

目前OWASP 核心规则集提供了三种处理动作，包括：

阻止：用户请求被阻断并drop。

验证码：用户会收到验证码挑战页面。

允许：用户请求被允许通过并在日志中记录。

防火墙规则

防火墙规则用于用户自定义防护策略，它可根据用户实际业务需要进行灵活配置，可防护在两种SCDN预定义规则集之外的攻击。

防火墙规则包含自定义防火墙规则与速率限制功能。其中自定义规则具备两个核心功能，

规则匹配：

定义在SCDN运行的自定义规则过滤流量，通过规则表达式构成，多条之间为且的关系。

支持作为过滤条件的字段类型包括：Cookie、主机名、IP地址、地域、refer、请求方法、URI、HTTP版本、UA等

操作动作：

定义匹配规则时安全加速执行的动作。可进行处理的动作包括：

阻止:用户请求被阻断并drop。

JS挑战:对请求发起JavaScript代码执行的挑战，验证其请求的真实性。

验证码：用户会收到验证码挑战页面。

允许:用户请求被允许通过并在日志中记录。

绕过：绕过某些安全功能。

有关京东云星盾安全加速SCDN产品的咨询，可以随时联络我们的在线安全专家。

京东云星盾安全加速SCDN产品，赠送京东礼品卡，详询：400-050-8619。

星盾一体化加速方案

星盾安全加速（SCDN，Secure Content Delivery Network），是京东云推出的一体化分布式安全防御产品，提供免费  SSL 证书，集成 Web 攻击防护、CC 攻击防御、BOT  机器人分析，并将内容分发加速能力融于一身。在边缘节点注入安全能力，形成分布式的安全加速网络，让您的业务更安全、体验更流畅。

厦门聚力诚信科技有限公司（BestCert.net）是网络安全领域的专业服务提供商，提供具备国际和国密双算法认证的数字证书管理服务，涵盖所有市场主流的SSL证书类型和品牌。公司致力于保护客户的网站等数字资产不受黑客和其他网络的侵害。此外，公司还为各行业客户提供电子签章、身份认证等电子认证服务解决方案来确保客户的数字身份安全。作为专业的网络安全服务提供商，公司注重确保客户数字资产的保密性、完整性和可用性，为客户提供全程在线支持，帮助客户应对安全问题和风险。