modsecurity规则解析

最新推荐文章于 2024-06-11 11:14:06 发布
最新推荐文章于 2024-06-11 11:14:06 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: waf 文章标签: 安全 正则表达式 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/harfo555/article/details/114403450
版权

例子:

  • 防XSS攻击:
    SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:001,msg: 'XSS Attack',severity:ERROR, deny,status:404"
    请求数据头部;正则匹配字符串<script>成功,规则执行;id为001;记录信息为XSS Attack;严重程度为ERROR;deny拒绝所有请求包;服务器响应状态编号为404
  • 白名单:
    SecRule REMOTE_ADDR "@ipmatch 192.168.1.9" "id:002,phase:1,t:none, nolog,pass, ctl:ruleEngine=off"
    远程主机地址;IP为192.168.1.9,则规则执行;id为002;执行范围为请求头部;none:表示VARIABLES的值不需要转换;nolog:代表不记录日志;pass:代表继续下一条规则;关闭拦截模式,所有规则失效
  • 规则3:
    SecRule ARGS:username "@streq admin" chain,deny,id:003 SecRule REMOTE_ADDR "!streq 192.168.1.9"
    所有请求参数中的用户名信息;字符串等于为admin;chain表示用户名等于admin的情况下,必须完成第二行规则的匹配(远程主机IP不是192.168.1.9)才能执行下一个动则;deny拒绝所有包;规则id为003

基本格式

SecRule VARIABLES OPERATOR ACTIONS

SecRule: modSecurity主要指令,用于创建安全规则
VARIABLES:代表HTTP包中的表示项,规定了安全规则针对的对象。常见变量包括
  • ARGS(所有请求参数; :username表示请求参数中的用户信息),
  • REQUEST_HEADERS(请求数据头部),
  • FILES(所有文件名称),
  • REMOTE_ADDR(远程主机IP)
OPERATOR:操作符,一般用来定义规则的匹配条件。
  • @rx(正则表达式),
  • @streq(字符串相同),
  • @ipmath(IP相同)
ACTIONS: 代表相应动作,一般用来定义数据包被规则命中后的相应动作。
  • deny(数据包被拒绝),
  • pass(允许数据包通过),
  • id(定义规则的编号),
  • severity(定义事件严重程度EMERGENCY :0、ALERT:1、CRITICAL:2、ERROR:3、WARNING:4、NOTICE:5、INFO:6 、DEBUG:7),
  • msg(记录信息),
  • status(表示服务器响应状态),
  • phase(1,Request Headers表示规则执行的范围为请求头部;2,Request Body表示规则执行范围为请求正文;3,Response Headers表示规则范围为响应头部;4,Response Body表示规则范围为响应正文;5,Logging表示记录中),
  • t,transform(none:表示VARIABLES的值不需要转换;nolog:代表不记录日志;pass:代表继续下一条规则),
  • ctl(ruleEngine=off代表关闭拦截模式,所有规则失效),
  • chain(deny在满足前面规则的情况下,必须完成第二行规则的匹配,才能执行下一个动作)
为所欲Wei
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
modsecurity日志解析并存到mysql数据库
01-04
在本案例中,我们需要解析ModSecurity生成的日志,提取出关键信息,如请求方法、URL、IP地址、时间戳、检测规则ID等。 3. **Python编程**: `modsecurity_log_mysql.py`是一个Python脚本,用于处理日志解析和数据库...
探秘ModSecurity:Web应用防火墙的守护者
gitblog_00019的博客
04-25 375
探秘ModSecurity:Web应用防火墙的守护者 项目地址:https://gitcode.com/owasp-modsecurity/ModSecurity ModSecurity 是一个开源的Web应用程序防火墙(WAF),由OWASP(开放网络应用安全项目)维护。它为网站的安全提供了强大的保护,能够识别并阻止各种恶意攻击,如SQL注入、跨站脚本(XSS)、缓冲区溢出等。 技术剖析 Mod...
Web 应用防火墙:Modsecurity 和核心规则
allway2的博客
08-29 3585
通过将其集成到您的 Web 服务器中,您可以确保在潜在危险请求到达您的 Web 应用程序或敏感数据从您的 Web 服务器泄漏之前被阻止。通过这种方式,您可以添加一个额外的防御层,从而为您的 Web 服务器或 Web 应用程序中的零日漏洞提供额外的保护。然后规则 980130 为我们提供了有关评分的更多信息:我们命中了偏执级别 1 的规则得分为 15,而其他偏执级别的规则对总分的贡献为 0。偏执程度越高,激活的规则就越多,因此核心规则集就越激进,提供更多保护,但也可能导致更多误报。(CRS) 的用武之地。..
nginx安装和配置ModSecurity
最新发布
一个今天胜过两个明天
06-11 372
通过以上步骤,我们在 Nginx 上安装和配置 ModSecurity,可以增强Web 服务器的安全性。ModSecurity 强大的规则集和灵活的配置选项,对安全防护最重要的就是规则,所以一定要定期审查日志,根据需要调整配置,适时更新规则集,以保持最佳的安全状态。OWASP 提供了一组常用的 ModSecurity 核心规则 (CRS),可以有效地防御许多常见的 Web 攻击。这里我禁止了对/tmp目录的访问,但允许/tmp后面加字母和数字的目录,比如/tmpabc,是允许的,主要是防止误杀。
ModSecurity搭建过程(保姆级教学)
R.W.Y的博客
08-22 1176
ModSecurity 有一个默认的配置文件样本,样本路径为/etc/modsecurity/modsecurity.conf-recommended,我们将其复制到名为 modsecurity.conf 的配置文件,以启用和配置ModSecurityModSecurity在/usr/share/modsecurity-crs目录中设置了默认规则。要使新的规则对apache生效,我们使用vim编辑/etc/apache2/mods-enabled/security2.conf文件。
ModSecurity介绍
热门推荐
曾虎的博客
09-14 1万+
ModSecurity介绍 一、什么是ModSecurity?         1、ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙。        2、ModSecurity是一个开源、跨平台的web应用程序防火墙(WAF)模块。        3、它可以作为Apache Web服务器的一个模块或单独的应用程序来运
ModSecurity部署方式
weixin_42730268的博客
07-11 2069
ModSecurity 支持两个部署选项:嵌入式和反向代理部署。两种选择都有优点和缺点:嵌入式的 因为ModSecurity是一个Apache模块,所以可以将其添加到任何兼容版本的Apache中。ModSecurity已经移植到Nginx和IIS,后者引入了更广泛的平台选项。对于已经设计好了架构却不想改变原架构的情况来说,嵌入式选项是一个很好的选择。 如果需要保护数百个Web服务器,那么嵌入式部署也是最好的选择。 在这种情况下,构建一个单独的基于代理的安全层是可行的。嵌入式Mod
基于 NGINX 的 WAF 配置方法之ModSecurity
markvivv随笔
03-15 2943
我们都希望自己创建的应用程序是安全的,不会轻易被破坏。但是,忽然而至的黑客攻击新闻,突然收到的安全通报,都在提醒我们安全无小事,挑战随时随地发生。随着扫描器、rootkit 和其他恶意工具的盛行,只需有一点点技术知识的人就可以很容易地开始入侵网站。虽然被入侵可能是不可避免的,但我们仍然应该采取一切预防措施,保护我们的应用程序和数据,降低被入侵的风险,减少被通报的次数。ModSecurity 是一个确保应用程序安全的WAF开源工具,全世界有超过一百万个网站在使用。
详细部署modsecurity.docx
04-07
**ModSecurity 深度解析及部署指南** **1. ModSecurity 简介** ModSecurity 是一个功能强大的开源 Web 应用程序防火墙(WAF),它可以在 Apache、IIS 和 Nginx 服务器上运行。这个由 Trustwave SpiderLabs 开发的...
Apache下ModSecurity的安装启用与配置
09-15
- **验证libxml2**:确认系统中已经安装了最新版本的libxml2函数库,因为ModSecurity需要它来解析XML格式的规则。 - **停止Apache**:在安装过程中,先停止Apache服务以避免冲突。 - **解压**:使用`gzip -d`和`...
secrules-parser:ModSecurity CRS规则解析器(项目已移至CRS-support:请参阅https:github.comCRS-supportsecrules_parsing)
02-04
OWASP CRS规则解析器 不完整的解析器模型和示例应用程序,用于解析。 它使用python库进行解析。 如何使用它: 初始化子模块(获取CRS规则集): git submodule init git submodule update cd owasp-modsecurity-...
modSecurity
07-10
- **规则语言**:使用ModSecurity规则语言(SecRule)编写自定义防护策略,实现对特定应用的精细化控制。 - **集成能力**:可与其他安全工具如Snort、Suricata等联动,提升整体防御能力。 **5. 调试与维护** - 错误...
NGINX+ModSecurity搭建
qq_42890862的博客
01-05 3249
1、建立临时工作任务 [root@localhost ~]# cd /root && mkdir temporary && cd temporary/ 2、yum安装系统常用软件 [root@localhost temporary]# yum install epel-release [root@localhost temporary]# yum groupinstall ‘Development Tools’ -y 3、modsecurity依赖安装 [root@local
Mod_Security介绍
qq_33557485的博客
07-13 3469
官方介绍地址:https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual-%28v2.x%29#Introduction 一.简介 mod_security就是一个开源的WAF。特色是完整的http流量记录。提供实时的监控和攻击检测。(基于http的实时监控) (一)常用方式: 消极消极安全模型。监控异常请求,异常行为和常...
ModSecurity(3.0.x)部署
ss810540895的博客
12-08 1780
创建用于存在配置文件的文件夹将/usr/local/Modsecurity/modsecurity.conf-recommended复制到/usr/local/nginx/conf/modsecurity,并重命名为modsecurity.conf;将/usr/local/Modsecurity/unicode.mapping复制到/usr/local/nginx/conf/modsecurity;下载规则文件压缩包。
modsecurity配置指令学习
weixin_30819163的博客
11-21 633
事务(transactions) Console(控制台) 1 Introduction Modsecurity是保护网络应用安全的工作。不,从零开始。我常称modsecurity为WAF(网络应用防火墙),这是种被广泛接受的叫法,它指的是为保护网络应用而专门设计的产品族。也有些时候我称它为HTTP入侵检测工具,我认为这个称呼更好的描述了modsecurity做了什么。 Unders...
Modsecurity原理分析--从防御方面谈WAF的绕过(一)
chengfangang的专栏
11-10 4717
0x00 背景知识 一说到WAF,在我们安全工作者,或者作为普通的白帽子来说,就很头疼,因为好多时候,我们发到服务端的恶意流量都被挡掉了,于是就产生了各种绕“WAF”的话题,绕来绕去,也就无非那么多种,而且大多都是基于URLDecode的方式。 虽然我的文章也会讲绕过,虽然也是那么几种,但是我会从防御的方面展示WAF规则的强大。 笔者再次强调,如果你只是想学习WAF的绕过
modsecurity源码分析
研究源码的最底层,只持有正确的仓位
01-15 3452
一。so文件导出结构在Mod_security2.c中的最后AP_MODULE_DECLARE_DATA security2_module全局变量. 该变量定义了hook的各个函数位置和处理的指令表。 二。指令处理。 1.SecRuleEngine On:由函数cmd_rule_engine处理,在Apache2_config.c中。 该函数主要是设置directory_config-&gt;is...
modsecurity3.0安装部署
Eric
10-16 1412
Centos7.4 modsecurity with nginx 安装 1.安装依赖 yum install -y pcre pcre-devel openssl openssl-devel libtool libtool-ltdl-devel gcc gcc-c++ gcc-g77 autoconf automake geoip geip-devel libcurl libcurl-devel yajl yajl-devel lmdb-devel ssdeep-devel lua-devel 2
使用ModSecurity保护WebGoat应用安全
"Securing WebGoat Using ModSecurity" 是一篇关于如何使用开源Web应用防火墙ModSecurity来保护WebGoat应用的文章。WebGoat是一个用于教育的安全项目,旨在帮助学习者了解并防御Web应用程序安全漏洞。ModSecurity ...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值