前言

WAF上線之后，處理最多的是誤報(bào)消除。

產(chǎn)生誤報(bào)有多種原因，比如web應(yīng)用源碼編寫(xiě)時(shí)允許客戶端提交過(guò)多的cookie；比如單個(gè)參數(shù)提交的數(shù)值太大。

把誤報(bào)降低到了可接受的范圍后，還要關(guān)注漏報(bào)。WAF不是神，任何WAF都可能被繞過(guò)。所以還需要定位漏過(guò)的攻擊，明確漏報(bào)的原因，才能update WAF的策略。

要定位漏報(bào)，就必須分析Web應(yīng)用的訪問(wèn)日志了。一個(gè)站點(diǎn)，每天產(chǎn)生的access日志大概接近1GB，顯然靠肉眼看是不現(xiàn)實(shí)的。這就需要用python幫助自動(dòng)分析。

實(shí)現(xiàn)思路

拿我司某Web系統(tǒng)舉例：

     apache開(kāi)啟了access日志記錄

     日志規(guī)則是每小時(shí)生成一個(gè)日志文件，以站點(diǎn)名稱為文件名，以日期+時(shí)間為后綴。例如：special.XXXXXX.com.cn.2016101001

要分析這些散碎的日志文件，我的思路如下：

     1、根據(jù)用戶命令行輸入獲取日志文件所在目錄；

     2、遍歷目錄下所有文件，合并到一個(gè)文件；

     3、定義web攻擊常見(jiàn)payload的字符串：

          SQLi的：select、union、+