2. Apache 安装 WAF

最新推荐文章于 2023-09-02 14:19:59 发布
最新推荐文章于 2023-09-02 14:19:59 发布
阅读量1.2k 收藏 4
点赞数
分类专栏: apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huanghuitan/article/details/108100863
版权

Apache安全防护WAF,安装配置mod_security模块

在不改动现有系统任何代码的前提下,防止SQL注入
比如下面这个场景:服务器中难免有些安全性比较差的程序,或者某个程序在SQL处理上,没有使用参数查询,而是直接拼接字符串,还没有类型检查。 这时可以考虑使用WAF (Web Application Firewall)。

安装配置

http://www.apachelounge.com/download/
首先安装好Apache 2.4 和相应版本mod_security
解压后,里面有两个文件夹,mod_security和mlogc中readme.txt有安装过程。

安装Security2

  1. 复制 mod_security2.so 到 apache24/modules 目录中
  2. 复制 yajl.dll 到 apache24/bin folder

配置mod_security

修改httpd.conf

# Add to your httpd.conf
LoadModule security2_module modules/mod_security2.so
# Enable the module unique_id by uncommenting:
LoadModule unique_id_module modules/mod_unique_id.so

# Configuration: see the included documentation=
# Rules and documentation : http://www.modsecurity.org/


# A very quick start:
SecRuleEngine On
SecDefaultAction "deny,phase:2,status:403"

## -- rule --
SecRule ARGS "\.\./" "t:normalizePathWin,id:50904,severity:4,t:none,t:urlDecodeUni,t:htmlEntityDecode,t:lowercase,msg:'Drive Access'"

验证mod_security

重启: httpd.exe -k
访问: http://localhost/?abc=…/…/
安装成功则会如果返回: 403
Forbidden
You don’t have permission to access this resource.

安全防护

安装modsecurity-crs

添加规则要参考: http://www.modsecurity.org/rules.html
官方推荐: https://github.com/SpiderLabs/owasp-modsecurity-crs
参考文档: https://coreruleset.org/documentation/
下载规则并解压
复制rules到 apache24\conf\modsecurity-crs下
复制crs-setup.conf.example 到 modsecurity-crs/crs-setup.conf

配置crs-setup.conf 使支持pug,delete,patch方法的请求。 找到“HTTP Policy Settings”,内容如下:

#
# -- [[ HTTP Policy Settings ]] ------------------------------------------------
#
# This section defines your policies for the HTTP protocol, such as:
# - allowed HTTP versions, HTTP methods, allowed request Content-Types
# - forbidden file extensions (e.g. .bak, .sql) and request headers (e.g. Proxy)
#
# These variables are used in the following rule files:
# - REQUEST-911-METHOD-ENFORCEMENT.conf
# - REQUEST-912-DOS-PROTECTION.conf
# - REQUEST-920-PROTOCOL-ENFORCEMENT.conf

# HTTP methods that a client is allowed to use.
# Default: GET HEAD POST OPTIONS
# Example: for RESTful APIs, add the following methods: PUT PATCH DELETE
# Example: for WebDAV, add the following methods: CHECKOUT COPY DELETE LOCK
#          MERGE MKACTIVITY MKCOL MOVE PROPFIND PROPPATCH PUT UNLOCK
# Uncomment this rule to change the default.
#SecAction \
# "id:900200,\
#  phase:1,\
#  nolog,\
#  pass,\
#  t:none,\
#  setvar:'tx.allowed_methods=GET HEAD POST OPTIONS'"

这里默认启用了GET HEAD POST OPTIONS方法的支持,但我们项目是采用RESTful APIs,会用到PUT, PATCH, DELETE方法,所以修改以下的配置去掉注解:

SecAction \
 "id:900200,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:'tx.allowed_methods=GET HEAD POST OPTIONS PUT PATCH DELETE'"

设置配置文件httpd.conf

<IfModule security2_module>
  Include conf/modsecurity-crs/crs-setup.conf
  Include conf/modsecurity-crs/rules/*.conf
</IfModule>

验证mod_security

重启: httpd.exe -k
访问: http://localhost/?abc=alert(1)
安装成功则会如果返回: 403
Forbidden
You don’t have permission to access this resource.

安全防护日志

mlogc可以记录所有被规则拦截的日志。请参考ReadMe.txt
复制 mlogc.exe 到 apache24/bin 复制 mlogc-default.conf 到 apache24/conf/mlogc.conf

调整mlogc.conf 中的CollectorRoot 指定到apache24目录下
CollectorRoot “E:/Apache/Apache24/log/mlogc”

修改httpd.conf配置,添加mlogc:

<IfModule security2_module>
  Include conf/modsecurity-crs/crs-setup.conf
  Include conf/modsecurity-crs/rules/*.conf

  # mlogc.exe 配置文件
  SecDataDir logs
  SecAuditEngine RelevantOnly
  SecAuditLogRelevantStatus "^(?:5|4\d[^4])"
  SecAuditLogType Concurrent
  SecAuditLogParts ABCDEFGHZ
  SecAuditLogStorageDir logs/mod_security/
  SecAuditLog "${SRVROOT}/bin/mlogc.exe"
</IfModule>

主要防护规则

REQUEST-910-IP-REPUTATION.conf(可疑IP匹配)
REQUEST-912-DOS-PROTECTION.conf(DDOS攻击)
REQUEST-913-SCANNER-DETECTION.conf(扫描器检测)
REQUEST-920-PROTOCOL-ENFORCEMENT.conf(HTTP协议规范相关规则)
REQUEST-921-PROTOCOL-ATTACK.conf(协议攻击)
REQUEST-930-APPLICATION-ATTACK-LFI.conf(应用攻击-路径遍历)
REQUEST-931-APPLICATION-ATTACK-RFI.conf(远程文件包含)
REQUEST-932-APPLICATION-ATTACK-RCE.conf(远程命令执行)
REQUEST-933-APPLICATION-ATTACK-PHP.conf(PHP注入攻击)
REQUEST-941-APPLICATION-ATTACK-XSS.conf(XSS)
REQUEST-942-APPLICATION-ATTACK-SQLI.conf(SQL注入)
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION.conf(会话固定)
REQUEST-949-BLOCKING-EVALUATION.conf
RESPONSE-950-DATA-LEAKAGES.conf(信息泄露)
RESPONSE-951-DATA-LEAKAGES-SQL.conf(SQL信息泄露)
RESPONSE-952-DATA-LEAKAGES-JAVA.conf(JAVA源代码泄露)
RESPONSE-953-DATA-LEAKAGES-PHP.conf(PHP信息泄露)
RESPONSE-954-DATA-LEAKAGES-IIS.conf(IIS信息泄露)

casparthh
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows平台Apache安装开源WAF mod_security
01-08
Windows平台Apache安装开源WAF mod_security,可以拦截XSS、SQL注入、命令注入、远程代码执行等等漏洞
Apache24.zip
11-09
网上关于waf防火墙部署的教程不少,但是无奈没有windows下的现成资源可用,自己搭了一套,将资源分享给大家,解压后可直接运行使用
Apache ShenYu
05-04
Proxy: Support for Apache Dubbo, Spring Cloud, gRPC, Motan, SOFA, TARS, WebSocket, MQTT Security: Sign, OAuth 2.0, JSON Web Tokens, WAF plugin API governance: Request, response, parameter mapping, Hystrix, RateLimiter plugin Observability: Tracing, metrics, logging plugin Dashboard: Dynamic traffic control, visual backend for user menu permissions Extensions: Plugin hot-swapping, dynamic loading Cluster: NGINX, Docker, Kubernetes Language: provides .NET, Python, Go, Java client for API registe
WAF-nginx
07-03
用途:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击 防止svn/备份之类文件泄漏 防止ApacheBench之类压力测试工具的攻击 屏蔽常见的扫描黑客工具,扫描器 屏蔽异常的网络请求 屏蔽图片附件类目录php执行权限 防止webshell上传 系统:centos 6.4_x64 需要的软件:LuaJIT-2.0.3.tar.gz
Struts2漏洞检查工具2017版.zip
07-24
警告: 本工具为漏洞自查工具,请勿非法攻击他人网站! Struts2漏洞检查工具2017版 V2.0 by 安恒信息应急响应中心。支持S2-032,S2-037,S2-016,S2-019,S2-045,S2-046,S2-048漏洞验证。有对漏洞的命令执行功能、文件上传功能。还有批量验证功能。增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过部分WAF防护,存在S2-045就存在S2-046。增加S2-048 Struts 2.3.X,支持检查官方示例struts2-showcase应用的代码执行漏洞。增加安恒信息研究员nike.zheng发现的S2-045。jakatar处理复杂数据类型时,异常处理不当,导致OGNL代码执行,通过在请求的Content-Type头中构造OGNL表达式来执行Java代码。
ModSecurity规则库学习
慢慢来的博客
08-16 6287
OWASP ModSecurity Core Rule Set https://www.netnea.com/cms/core-rule-set-inventory/ 可以看到规则非常细, 整理分析文章:https://yq.aliyun.com/ziliao/5287 1、主要规则文件: REQUEST-910-IP-REPUTATION.conf(可疑IP匹配) REQUEST-9...
WAF是如何被绕过的?
hackzkaq的博客
11-19 837
作者:掌控安全学员-暗箭 欢迎关注公众号:掌控安全EDU 不知不觉来到掌控学院也快两个月了,想起俩个月前,从零开始,一步一个脚印的走到现在。 虽然有时很疲惫,但是却很快乐。 在下才疏学浅,仅在这里发表一下不成熟的见解,希望对大家的提升有所帮助 首先我们要了解什么是waf: Web应用防火墙,Web Application Firewall的简称 我们口头相谈的waf有什么功能呢? WAF可以发现和拦截各类Web层面的攻击,记录攻击日志,实时预警提醒,在Web应 用本身存在缺陷的情况下保障其安全。 但是,.
apache日志 waf_Windows下,Apache安全防护WAF安装配置mod_security模块
weixin_29876033的博客
12-24 886
一,在不改动现有系统任何代码的前提下,防止SQL注入比如下面这个场景:服务器中难免有些安全性比较差的程序,比如使用了老版本的dedecms。或者某个程序引用的第三方插件,在SQL处理上,没有使用参数绑定,而是直接拼接字符串,还没有类型检查。 这时可以考虑使用WAF (Web Application Firewall)。二,如何选择市面上的WAF有三种形态,硬件Web防火墙、Web防护软件和云Waf...
apache日志 waf_WAF对WebShell流量检测的性能分析
zhangge3663的博客
03-11 377
最近在一次授权渗透测试中遇到了一个棘手的场景,万能的队友已经找到了后台上传点,并传了小马然后开心地用antsword进行连接,但是由于明文传输很快被waf感知,并引起了管理员的注意,很快我们的马被清了,真是偷鸡不成蚀把米。 痛定思痛,我们判断对方并不能尽快修复漏洞,于是临阵抱佛脚,希望于通过加密算法提高攻击的质量。首先要做三件事 第一,迅速在本地复现对方环境,第二,配置多种加密组合成攻击载荷,第三,用开源安全模块modsecurity测试攻击载荷加密后的效果。 本地环境组建 从保留的截图来看,对方的
apache日志 waf_如何打造一款可靠的WAF(Web应用防火墙)
weixin_39681161的博客
12-24 208
之前写了一篇《WAF防御能力评测及工具》,是站在安全运维人员选型WAF产品的角度来考虑的(优先从测试角度考虑是前职业病,毕竟当过3年游戏测试?!)。本篇文章从本片文章包括三个主题(1) WAF实现 WAF包括哪些组件,这些组件如何交互来实现WAF防御功能(2)WAF规则(策略)维护规则(策略)如何维护,包括获取渠道,规则测试方法以及上线效果评测(3) WAF支撑WAF产品的完善需要哪些信息库的支撑...
Nginx+Modsecurity 安全安装
weixin_40230682的博客
08-04 1580
一、安装nginx Nginx可选择直接yum安装,也可以使用二进制文件编译安装,该文档模拟使用yum安装后,添加Modsecurity 模块 #安装nginx-1.16.1 [直接yum install nginx 安装1.20.1也行] rpm -ivh http://nginx.org/packages/centos/7/x86_64/RPMS/nginx-1.16.1-1.el7.ngx.x86_64.rpm #此时Nginx 已安装完成,可查看nginx版本 nginx -v #使用
利用 ModSecurity 在 Nginx 上构建 WAF
yetugeng的专栏
04-06 1517
ModSecurity原本是Apache上的一款开源WAF模块,可以有效的增强Web安全性。目前已经支持Nginx和IIS,配合Nginx的灵活和高效可以打造成生产级的WAF,是保护和审核Web安全的利器。 在这篇文章中,我们将学习配置ModSecurity与OWASP的核心规则集。 什么是ModSecurity ModSecurity是一个入侵侦测与防护引擎,它主要是用于Web应用程序,所...
nginx+modsecurity:WAF防火墙
weixin_30472035的博客
07-01 410
WEB waf应用 Nginx+modsecurity WAF防火墙 ModSecurity是一个开源的跨平台Web应用程序防火墙(WAF)模块。它被称为WAF的“瑞士军刀”,它使Web应用程序防御者能够了解HTTP(S)流量,并提供强大的规则语言和API来实现高级保护。 ModSecurity有以下作用: SQ...
Apache HTTP 过滤器filter、开源WAF(ModSecurity)、Apache 模块开发
西京刀客
03-08 2335
在编写Apache模块时,需要具备C或C++编程经验和对Apache Web服务器的基本了解。另外,需要参考Apache的文档和API参考手册来编写代码和构建模块。
WAF)Web应用程序防火墙介绍
wt334502157的博客
08-23 2477
​ Web应用程序防火墙(WAF)在保护Web应用程序免受各种网络攻击方面发挥着关键作用。它通过监控、检测和防护恶意请求,提供了一道坚实的防线,保护用户数据、隐私和业务连续性。然而,要充分发挥其作用,WAF需要与其他安全措施结合使用,同时也需要管理员的定期维护和优化。通过综合的安全策略,可以实现强大的Web应用程序安全。​ Web应用程序防火墙(WAF)是保护Web应用程序免受各种网络攻击的关键工具。
WAF简介以及ModSecurity安装
weixin_64655821的博客
09-28 1813
WAF简介以及ModSecurity安装
linux 服务器搭建web网站防御秘籍之雷池WAF包含入门介绍-安装-使用-升级更新
最新发布
weixin_38912950的博客
09-02 2603
我们在安装了Linux服务器并使用了宝塔面板后发现,宝塔的WAF需要升级版本才能使用。尽管市面上有很多免费的开源WAF解决方案,但我们对它们的学习成本感到有些高,而且对于我们这个刚开始建站的小型项目来说,也不想花费一千多块钱来购买商业WAF每年的许可费。因此,我在网上进行了一番搜索,希望能找到一款简单上手的开源WAF。最终,我发现了长亭公司开发的雷池WAF,它非常适合我们使用。
WAF】雷池安装及使用体验
信安是不可或缺的一部分!
04-19 6618
长亭一直是我比较喜欢的一家公司,像业界比较出名的扫描器xray还有rad等很多工具都是他们开发的,使用起来非常的nice,联动其他安全工具可以实现自动漏洞挖掘,这里测的是他们开发的一款waf产品“雷池”这个产品很早之前我就知道,但是当时没有社区版是需要收费的,当时是通过其他渠道用了一下感觉不错,现在来试试社区版。它是一款基于大数据、机器学习等技术的网络攻击检测系统。通过实时监测和分析全球各地的威胁情报、攻击数据和漏洞信息,雷池能够快速发现和识别未知安全威胁,准确判断攻击的类型和来源,并及时发出警报。
Apache ModSecurity 基础介绍
ppaudio的专栏
04-27 1250
转自:https://javascript.net.cn/article?id=449 一,主要功能: SQL Injection (SQLi):阻止SQL注入 Cross Site Scripting (XSS):阻止跨站脚本攻击 Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击 Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击 Remote Code Execution (RCE):阻止利用远程命令执行漏洞进行攻击 PHP C
centos apache waf
07-27
在CentOS上部署ApacheWAF可以增强Web应用程序的安全性。 要在CentOS上安装Apache,可以使用以下命令: ``` sudo yum install httpd ``` 安装完成后,您可以使用以下命令启动Apache服务: ``` sudo systemctl ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值