ModSecurity Method Not Allow的解决方法

最新推荐文章于 2024-02-07 23:12:26 发布
最新推荐文章于 2024-02-07 23:12:26 发布
阅读量626 收藏 1
点赞数
文章标签: linux nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chg1226/article/details/108540274
版权

ModSecurity Method Not Allow的解决方法

今天项目上线, 碰到了一个网站打不开的问题. 看了modsec_audit.log后看到的信息是

Method is not allow by policy

做了一些调查, 发现ModelSecurity 默认只允许GET HEAD POST OPTIONS几个方法, 这部分内容定义在REQUEST-901-INITIALIZATION.conf这个文件中

# Default HTTP policy: allowed_methods (rule 900200)
SecRule &TX:allowed_methods “@eq 0”
“id:901160,
phase:1,
pass,
nolog,
ver:‘OWASP_CRS/3.3.0’,
setvar:‘tx.allowed_methods=GET HEAD POST OPTIONS’”

有几种解决办法, 一种是直接改上面的对定, 一种是加规则.
我的办法是加了一条规则, 如果url符合条件就允许delete 和 put方法, 定义如下:

SecRule REQUEST_URI “@beginsWith /abc/xyz/”
“id:800003,
phase:2,
log,
setvar:‘tx.allowed_methods=%{tx.allowed_methods} PUT DELETE’”

然后把这部分内容追加到了REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf的末尾. 注意id不要重复. 重启nginx后网页可以正常打开了.

chg1226
关注
小白如何部署modsecurity.doc
04-23
**ModSecurity 概述** ModSecurity 是一个强大的Web应用程序防火墙(WAF),它作为一道安全屏障,位于Web服务器和应用程序之间,旨在检测并防御针对Web应用的各种恶意攻击。这款工具能够识别并防止诸如SQL注入、跨...
使用Put的过滤器
qq_43410909的博客
12-26 157
配置 HiddenHttpMethodFilter 可以把POST请求转为 DELETE 和 PUT请求
低危的http漏洞
qq_49015005的博客
05-21 301
1.选择网站进行抓包 2.在数据包请求方法中修改方法为OPTIONS 3.在返回数据包中会出现allow参数显示该网站允许的访问方法
Method Not Allowed The method is not allowed for the requested URL.
最新发布
chen的博客
02-07 3937
你遇到的 “Method Not Allowed” 错误通常是因为你尝试使用不允许的 HTTP 方法访问某个 URL。在你的代码中,你限定了。这样,你应该能够解决Method Not Allowed” 错误,因为你明确地允许了这个路由仅接受。如果你是通过浏览器访问,浏览器通常在地址栏中输入 URL 时默认使用。命令行工具或者 Postman 这样的工具,发送一个。请求来测试这个路由。要访问这个路由,你需要使用。
CentOS 7.X 网络安全加固 Nginx 安装 ModSecurity 模块
ideal-lingyun
03-13 1162
CentOS 7.X 网络安全加固 Nginx 安装 ModSecurity 模块
ModSecurity网站防火墙安装教程加WEB防御规则设置
云博客_资源宝分享
02-12 2267
ModSecurity网站防火墙安装教程加WEB防御规则设置
modsecurity handbook
11-11
ModSecurity Handbook is the definitive guide to ModSecurity, a popular open source web application firewall. Written by Ivan Ristic, who designed and wrote much of ModSecurity, this book will teach ...
详细部署modsecurity.docx
04-07
**ModSecurity 深度解析及部署指南** **1. ModSecurity 简介** ModSecurity 是一个功能强大的开源 Web 应用程序防火墙(WAF),它可以在 Apache、IIS 和 Nginx 服务器上运行。这个由 Trustwave SpiderLabs 开发的...
modsecurity日志解析并存到mysql数据库
01-04
在本案例中,我们需要解析ModSecurity生成的日志,提取出关键信息,如请求方法、URL、IP地址、时间戳、检测规则ID等。 3. **Python编程**: `modsecurity_log_mysql.py`是一个Python脚本,用于处理日志解析和数据库...
modsecurity-nginx-1.0.3
11-03
modsecurity-nginx-1.0.3 nginx 和 libmodsecurity 之间的连接器, 其实就是一个第三方 Nginx 模块, Nginx 可以通过静态或动态方式加载该模块。 下载地址git clone --depth 1 ...
modsecurity java_OWASP ModSecurity Core Rule Set (CRS)的基本使用
weixin_33205791的博客
02-19 589
Preface前述文章开源WAF工具ModSecurity,介绍了ModSecurity作为Nginx的动态加载模块的基本安装和使用。本篇简单介绍ModSecurity CRS规则集的使用。# nginx -v                # nginx版本nginx version: nginx/1.17.6# which nginx              # nginx可执行文件路径/u...
Apache ModSecurity 基础介绍
ppaudio的专栏
04-27 1609
转自:https://javascript.net.cn/article?id=449 一,主要功能: SQL Injection (SQLi):阻止SQL注入 Cross Site Scripting (XSS):阻止跨站脚本攻击 Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击 Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击 Remote Code Execution (RCE):阻止利用远程命令执行漏洞进行攻击 PHP C
利用 ModSecurityNginx 上构建 WAF
yetugeng的专栏
04-06 1654
ModSecurity原本是Apache上的一款开源WAF模块,可以有效的增强Web安全性。目前已经支持Nginx和IIS,配合Nginx的灵活和高效可以打造成生产级的WAF,是保护和审核Web安全的利器。 在这篇文章中,我们将学习配置ModSecurity与OWASP的核心规则集。 什么是ModSecurity ModSecurity是一个入侵侦测与防护引擎,它主要是用于Web应用程序,所...
android中9.0权限问题
迷茫的小亮仔的博客
04-28 9097
最近又在忙一个新项目了,也没怎么看技术的更新,鬼知道或遇到下面项目中遇到的问题啦! 写了一点看代码看效果时到登陆页面时出现了下面的情况: 当遇到这种情况时不知道什么原因,以为是手机没有打开手机权限呢,就试着一步一步来了,就出现了下面的情况,如下图: 实在是之前没有遇到过这个问题,于是百度一下发现确实有这个案列啊,解决办法如下: 在项目的自己创建的Application里面添加 ...
Android-访问权限
Android_xi的博客
02-17 850
访问权限 是指对象是否可以通过".“运算符操作自己的的变量或通过”."运算符使用自己类中的方法 访问控制 private 私有的、protected 受保护的 、public 公共的,用来修饰成员变量或方法 用private修饰的成员变量和方法称为私有变量和私有方法 对于私有成员变量和方法,只有在本类中创建该类的对象时,这个对象才能访问自己的私有成员变量和类中的私有方法 示例: class Tom...
一则“HTTP 405 Method Not Allowed”的解决办法
热门推荐
甘焕的博客
07-05 43万+
在angular 1.4版本的项目中,程序一直运行正常,突然有一天,在提交表单时,提示“HTTP 405”错误——“Method Not Allowed”。 从字面上的意思理解,很显然是提交方法的类型错误,要么是以GET方式向POST接口提交数据,要么是POST方式项GET接口提交数据,但反反复复检查了后端接口与提交方式,都是POST,完全没有问题。 仔细检查前端代码,发现编写方式如下: ...
HTTP 405 错误 – 方法不被允许 (Method not allowed)【转载】
weixin_33744141的博客
03-01 5万+
介绍 HTTP 协议定义一些方法,以指明为获取客户端(如您的浏览器或我们的 CheckUpDown 机器人)所指定的具体网址资源而需要在 Web 服务器上执行的动作。则这些方法如下: OPTIONS( 选项 ) :查找适用于一个特定网址资源的通讯选择。 在不需执行具体的涉及数据传输的动作情况下, 允许客户端来确定与资源相关的选项以及 / 或者要求, 或是一个服务器的性能。 GET(...
ModSecurity Handbook: 2018版入门指南
1. **ModSecurity简介**:介绍ModSecurity的起源、目标和在Web安全中的角色,以及为什么它成为许多组织首选的WAF解决方案。 2. **安装与配置**:指导读者如何在不同的操作系统(如Linux、Windows)上安装...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值