例子:
- 防XSS攻击:
SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:001,msg: 'XSS Attack',severity:ERROR, deny,status:404"
请求数据头部;正则匹配字符串<script>
成功,规则执行;id为001;记录信息为XSS Attack;严重程度为ERROR;deny拒绝所有请求包;服务器响应状态编号为404 - 白名单:
SecRule REMOTE_ADDR "@ipmatch 192.168.1.9" "id:002,phase:1,t:none, nolog,pass, ctl:ruleEngine=off"
远程主机地址;IP为192.168.1.9,则规则执行;id为002;执行范围为请求头部;none:表示VARIABLES的值不需要转换;nolog:代表不记录日志;pass:代表继续下一条规则;关闭拦截模式,所有规则失效 - 规则3:
SecRule ARGS:username "@streq admin" chain,deny,id:003 SecRule REMOTE_ADDR "!streq 192.168.1.9"
所有请求参数中的用户名信息;字符串等于为admin;chain表示用户名等于admin的情况下,必须完成第二行规则的匹配(远程主机IP不是192.168.1.9)才能执行下一个动则;deny拒绝所有包;规则id为003
基本格式
SecRule VARIABLES OPERATOR ACTIONS
SecRule: modSecurity主要指令,用于创建安全规则
VARIABLES:代表HTTP包中的表示项,规定了安全规则针对的对象。常见变量包括
- ARGS(所有请求参数; :username表示请求参数中的用户信息),
- REQUEST_HEADERS(请求数据头部),
- FILES(所有文件名称),
- REMOTE_ADDR(远程主机IP)
OPERATOR:操作符,一般用来定义规则的匹配条件。
- @rx(正则表达式),
- @streq(字符串相同),
- @ipmath(IP相同)
ACTIONS: 代表相应动作,一般用来定义数据包被规则命中后的相应动作。
- deny(数据包被拒绝),
- pass(允许数据包通过),
- id(定义规则的编号),
- severity(定义事件严重程度EMERGENCY :0、ALERT:1、CRITICAL:2、ERROR:3、WARNING:4、NOTICE:5、INFO:6 、DEBUG:7),
- msg(记录信息),
- status(表示服务器响应状态),
- phase(1,Request Headers表示规则执行的范围为请求头部;2,Request Body表示规则执行范围为请求正文;3,Response Headers表示规则范围为响应头部;4,Response Body表示规则范围为响应正文;5,Logging表示记录中),
- t,transform(none:表示VARIABLES的值不需要转换;nolog:代表不记录日志;pass:代表继续下一条规则),
- ctl(ruleEngine=off代表关闭拦截模式,所有规则失效),
- chain(deny在满足前面规则的情况下,必须完成第二行规则的匹配,才能执行下一个动作)