modsecurity troubleshoting

最新推荐文章于 2024-07-01 00:01:43 发布
最新推荐文章于 2024-07-01 00:01:43 发布
阅读量711 收藏 2
点赞数
文章标签: linux nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chg1226/article/details/108342590
版权
在启用ModSecurity作为WAF后,遇到正常页面被拦截并返回403错误的问题。通过分析audit日志发现是由于SQL参数触发了规则932115和942100。为了解决这个问题,对请求URI为'/sqlurl/'的页面创建了白名单,移除了触发错误的规则,从而避免误报。修改配置文件并在重启nginx后,问题得到解决。
摘要由CSDN通过智能技术生成

modsecurity troubleshoting

最近上了modsecurity做waf, 但几个正常页面报403了, 看页面上的显示错误, 是modsecurity拦截了.

这个页面上是通过执行sql返回结果的, 估计是被识别成了sql注入.

分析问题

打开audit日志

首先要打开modsecurity的audit log, 默认是已经打开 了, 位置在/var/log/modsec_audit.log. 如果没有打开 可以参考以下步骤.

  1. 配置文件**/etc/nginx/modsec/modsecurity.conf**.

  2. 找到以下几行, 做相应的修改

    SecAuditLogType Serial
SecAuditLog /var/log/nginx/modsec_audit.log #日志路径

SecAuditEngine RelevantOnly #Off关闭, On打开并记所有处理记录, ReleventOnly只记触发了warning和error的.
SecAuditLogRelevantStatus "^(?:5|4(?!04))" #只记是500和400系统的error和warning, 但排除了404
SecAuditLogParts ABIJDEFHZ #具体哪部分写入日志, 详细看下表
    Section Description
    A Audit log header (mandatory)
    B Request
最低0.47元/天 解锁文章
chg1226
关注
spring security 学习一(spring boot项目配置spring security实现页面拦截)
bird_tp的博客
06-04 787
一、spring security 功能 spring security 的核心功能主要包括: 认证(你是谁),授权(你能干什么),攻击防护(防止伪造身份) 二、简单demo 1.首先在自己新建好的spring boot项目引入以下依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf.
php 403 -禁止访问 访问被拒绝,ModSecurity:访问被拒绝,代码为403(阶段2)。使用“多部分/表单数据”时...
weixin_39912163的博客
03-16 602
我正在尝试将图像上载到web服务器。接收错误:403。所以我检查了Apache日志,日志中出现了以下错误:ModSecurity: Access denied with code 403 (phase 2). Match of "eq 0" against "MULTIPART_STRICT_ERROR" required. [file "/usr/local/cwaf/rules/13_HTTP...
modsecuity禁用指定规则解除403返回
zhanggd57的博客
07-04 2189
modsecuity禁用指定id规则
modsecurity配置指令学习
weixin_30819163的博客
11-21 672
事务(transactions) Console(控制台) 1 Introduction Modsecurity是保护网络应用安全的工作。不,从零开始。我常称modsecurity为WAF(网络应用防火墙),这是种被广泛接受的叫法,它指的是为保护网络应用而专门设计的产品族。也有些时候我称它为HTTP入侵检测工具,我认为这个称呼更好的描述了modsecurity做了什么。 Unders...
AppScan扫描安全问题解决实录-跨站点脚本编制
yaovirus的专栏
05-15 1809
问题分析 未对用户可控制的输入正确进行无害化处理,就将其放置到充当 Web 页面的输出中。这可被跨站点脚本编制攻击利用。 白话解析:攻击者将脚本作为参数发送到被攻击的接口,然后接口直接返回语句到页面,那么页面就会执行攻击者的脚本。攻击者可以利用脚本获取token、cookie等信息,进而下一步攻击。 解决方案一 Apache配置解决方案: 1开放module LoadModule security2_module modules/mod_security2.so 2添加如下配置 <If
modsecurity-crs-docker:官方ModSecurity Docker + Core Rule Set(CRS)映像
05-19
ModSecurity核心规则集Docker映像 什么是核心规则集 核心规则集(CRS)是一组与ModSecurity或兼容的Web应用程序防火墙一起使用的通用攻击检测规则。 ModSecurity是适用于Apache,IIS和Nginx的开源,跨平台Web应用...
小白如何部署modsecurity.doc
04-23
**ModSecurity 概述** ModSecurity 是一个强大的Web应用程序防火墙(WAF),它作为一道安全屏障,位于Web服务器和应用程序之间,旨在检测并防御针对Web应用的各种恶意攻击。这款工具能够识别并防止诸如SQL注入、跨...
modsecurity handbook
11-11
ModSecurity Handbook is the definitive guide to ModSecurity, a popular open source web application firewall. Written by Ivan Ristic, who designed and wrote much of ModSecurity, this book will teach ...
nginx-modsecurity-ubuntu:适用于modsecurity-nginx的Ubuntu软件包
02-06
"nginx-modsecurity-ubuntu" 这个标题指的是在Ubuntu操作系统上用于集成Nginx web服务器和ModSecurity安全模块的软件包。它表明我们要讨论的是如何在Ubuntu环境中配置Nginx以增强其安全性,特别是通过使用...
Web 应用防火墙:Modsecurity 和核心规则集
allway2的博客
08-29 4169
通过将其集成到您的 Web 服务器中,您可以确保在潜在危险请求到达您的 Web 应用程序或敏感数据从您的 Web 服务器泄漏之前被阻止。通过这种方式,您可以添加一个额外的防御层,从而为您的 Web 服务器或 Web 应用程序中的零日漏洞提供额外的保护。然后规则 980130 为我们提供了有关评分的更多信息:我们命中了偏执级别 1 的规则得分为 15,而其他偏执级别的规则对总分的贡献为 0。偏执程度越高,激活的规则就越多,因此核心规则集就越激进,提供更多保护,但也可能导致更多误报。(CRS) 的用武之地。..
ModSecurity 默认日志路径
m0_61237221的博客
12-29 620
ModSecurity 默认日志路径 /var/log/modsec_audit.log
雷池WAF+Modsecurity安装防护及系统加固
最新发布
钟言的博客
07-01 3375
本篇为继上一篇对于XSS靶场的二次加固,将modsecurity与雷池WAF进行联动,详细内容包含了雷池WAF 1、什么是雷池 2、什么是WAF 3、雷池的功能 4、WAF部署架构 5、整体检测流程 雷池WAF环境依赖 1、查看本地CPU架构 2、Docker安装 2.1 卸载旧版本 2.2 安装yum-utils工具包 2.3 设置镜像仓库 2.4 安装docker 2.5 启动docker并查看版本 3、Docker Compose安装 3.1 卸载旧版本 3.2 下载文件并移至bin目录3.等内容。
利用 ModSecurityNginx 上构建 WAF
yetugeng的专栏
04-06 1619
ModSecurity原本是Apache上的一款开源WAF模块,可以有效的增强Web安全性。目前已经支持Nginx和IIS,配合Nginx的灵活和高效可以打造成生产级的WAF,是保护和审核Web安全的利器。 在这篇文章中,我们将学习配置ModSecurity与OWASP的核心规则集。 什么是ModSecurity ModSecurity是一个入侵侦测与防护引擎,它主要是用于Web应用程序,所...
apache日志 waf_开发架构之开源WAF延申
weixin_32673065的博客
12-11 247
其实网上开源WAF是有很多的,搭建方式比较简单,但只限于搭建,而没有分析调整的后续使用方法,这一点其实是实际使用中大家最关心也是最迫切需要的,下面就分享一下我的开源WAF构建与使用。一、选用其实在选用方面是需要进行多方面对比的,有业务需求方面的,有安全本身的,出于我们业务和架构的考虑,在这里我们使用的是modsecurity V3作为主体WAF框架,OWASP TOP 10作为主要策略,同时还覆盖...
ModSecurity 3.x + Nginx 编译安装
xufuangchao的博客
05-19 2235
在CentOS7上,制作nginx_modsecurity3 安装包,附件有制作完成的 rpm 安装包,系统环境匹配的情况下可以直接使用。
modSecurity规则学习(六)——检测模式
weixin_30378311的博客
04-18 2472
传统检测模式-自主规则 传统检测模式所有规则都是“闭环”的模式。就像HTTP本身一样,单独的规则是无状态的。这意味着规则之间不共享信息,每个规则都没有关于任何先前规则匹配的信息。它仅使用其当前的单个规则逻辑进行检测。在此模式下,如果规则触发,它将执行当前规则中指定的任 何中断/记录日志操作。设置方法:修改Crs-setup.conf # Example: Self-contained mo...
modsecurity设置规则防止SQL注入
技术转管理历程
03-16 5104
防止SQL注入 1)cd /etc/httpd/modsecurity-crs/rules 2)vi REQUEST-SELF-101-HASH.conf 写入 # # -=[ SQL Injection Character Anomaly Usage ]=- # # This is a paranoid sibling to 2.2.x Rule 981173. # The re
ubuntu上安装Apache2+ModSecurity及实现防SQL注入演示
www1234的博客
09-11 3599
ubuntu上安装Apache2+ModSecurity及实现防SQL注入演示 一、Apache2 的安装 1.1、安装环境: OS:Ubuntu 16.04.1 LTS Apache: Apache/2.4.18 (Ubuntu)安装命令: 更新安装源: sudo apt-get install update sudo apt-get install apache21.2、Apac
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值